Verdacht auf Viren-Befall

Kanrei · 10.12.2009, 17:57

Hallo,
Ich hab das Gefühl, dass ich einen unerwünschten Gast auf meinem PC habe. Ich finde zum Beispiel im Taskmanager 2 mal iexplore.exe. Ich hab mich ein bisschen informiert und herausgefunden, dass dies auf einen Swizzor.A Trojaner oder hinweist. Hab auch ein Guide hier durchgelesen, doch ich finde keine verächtigen Dateien in meinen HijackThis-Log. Ich bin allerdings auch ein Laie xD Ich hatte vor kurzem bereits einen Virus-Fund. Irgendwas mit Antimalware oder so. Ständig tauchten Popup-Fenster auf und ich sollte irgendwas kaufen. Da mein eigentlicher Virenschutz (McAfee) nich mehr funktionierte (und immer noch nich funktioniert), habe ich mir SpywareTerminator runtergeladen und das Problem (scheinbar?) gelöst. Allerdings erscheint immer wenn ich den PC starte, ein Popup-Up, der irgendwas von Casinos sagt. Hier ist mein HijackThis-Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:51:53, on 10.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Yahoo!\Search Protection\SearchProtection.exe
C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe
C:\Programme\a-squared Anti-Dialer\a2adguard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Pando Networks\Media Booster\PMB.exe
C:\Programme\IncrediMail\bin\IMApp.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\Programme\a-squared Anti-Dialer\a2service.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\McAfee\SiteAdvisor\McSACore.exe
E:\GMS\npkcmsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll (file missing)
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn2\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn2\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: McAfee Phishing Filter - {27B4851A-3207-45A2-B947-BE8AFE6163AB} - c:\PROGRA~1\mcafee\msk\mskapbho.dll
O2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll (file missing)
O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Programme\McAfee\VirusScan\scriptsn.dll
O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Programme\Spyware Doctor\BDT\PCTBrowserDefender.dll (file missing)
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [YSearchProtection] "C:\Programme\Yahoo!\Search Protection\SearchProtection.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [LexwareInfoService] C:\Programme\Gemeinsame Dateien\Lexware\Update Manager\LxUpdateManager.exe /autostart
O4 - HKLM\..\Run: [mcagent_exe] "C:\Programme\McAfee.com\Agent\mcagent.exe" /runkey
O4 - HKLM\..\Run: [McENUI] C:\PROGRA~1\McAfee\MHN\McENUI.exe /hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Dialer\a2adguard.exe"
O4 - HKLM\..\Run: [a-squared Anti-Dialer] "C:\Programme\a-squared Anti-Dialer\a2adguard.exe" /d=60
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Pando Media Booster] C:\Programme\Pando Networks\Media Booster\PMB.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\prxernsp.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{96694D0F-1CA8-4AA9-9D58-75BC007CF2BF}: NameServer = 62.220.18.38 89.246.64.38
O17 - HKLM\System\CS1\Services\Tcpip\..\{96694D0F-1CA8-4AA9-9D58-75BC007CF2BF}: NameServer = 62.220.18.38 89.246.64.38
O17 - HKLM\System\CS2\Services\Tcpip\..\{96694D0F-1CA8-4AA9-9D58-75BC007CF2BF}: NameServer = 62.220.18.38 89.246.64.38
O18 - Protocol: haufereader - (no CLSID) - (no file)
O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll
O22 - SharedTaskScheduler: bloodthirst - {f85e05f5-667e-41b0-ab8a-147337a99e65} - C:\WINDOWS\system32\xuefh.dll (file missing)
O23 - Service: a-squared Anti-Dialer Service (a2AntiDialer) - Emsi Software GmbH - C:\Programme\a-squared Anti-Dialer\a2service.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Programme\McAfee\SiteAdvisor\McSACore.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\PROGRA~1\GEMEIN~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\PROGRA~1\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Programme\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Programme\McAfee\MSK\MskSrver.exe
O23 - Service: npkcmsvc - INCA Internet Co., Ltd. - E:\GMS\npkcmsvc.exe

--
End of file - 9043 bytes

Achja ich hab noch ein kleins Problen aber ich will nich extra ein neues Thema erstellen... Immer wenn ich den PC starte, erscheint eine Meldung von ATI, in der steht, dass ich nicht die Berechtigung oder so besitze irgendwas zu ändern. Hoffe mir kann jemand helfen D:
Vielen Dank im Vorraus.

cosinus · 11.12.2009, 12:58

Zitat:

Zitat von Kanrei

Ich finde zum Beispiel im Taskmanager 2 mal iexplore.exe.

Microsoft hat im Internet Explorer 8.0 ein paar Änderungen an der Architektur durchgeführt. Grundsätzlich wird nun für jeden Tab eine neue Instanz der iexplore.exe gestartet. Das ist bei Dir mit dem IE8 also normal.

Kanrei · 11.12.2009, 13:34

Aber ich benutze grundsätzlich nur Firefox oO Und wenn ich die beenden will, kommen sie auch sofort wieder... Irgendwie glaub ich nich, dass das normal ist =/

cosinus · 11.12.2009, 13:41

Und warum erwähnst Du das jetzt erst, dass DU nur den Firefox verwendest?

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Kanrei · 11.12.2009, 14:09

Sorry hab ich vergessen D:
Ich hab gerade Malwarevytes-Anti-Malware runtergeladen und wollte es jetzt starten aber irgendwie scheint das Programm nich zu reagieren... Ich klicke drauf, die kleine Sanduhr erscheint kurz und dann nichts. Trotzdem finde ich mbam.exe im Taskmanager...

cosinus · 11.12.2009, 14:12

Dann mach erstmal nur Logs mit RSIT und poste diese über file-upload.net

Kanrei · 11.12.2009, 14:20

File-Upload.net - info.txt
und
File-Upload.net - log.txt

cosinus · 11.12.2009, 14:43

Ein Log brauch ich noch: Lade dir Lop S&D herunter.

Führe Lop S&D.exe per Doppelklick aus. VISTA-User: Rechtsklick => Ausführen als Admin!!
Wähle die Sprache deiner Wahl und anschließend die Option 1.
Warte bis der Scanbericht erstellt wird und poste ihn hier (Du findest ihn unter C:\lopR.txt, sollte der Bericht nicht erscheinen).

Kanrei · 11.12.2009, 15:09

File-Upload.net - lopR.txt

cosinus · 11.12.2009, 15:47

Hast Du den CCleaner nicht ausgeführt? Da sind einige Tempdateien noch drin, die eigentlich vom CCleaner gelöscht werden sollten. Egal.

Es wird Zeit für Combofix:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Kanrei · 11.12.2009, 16:39

Ich hab die Anleitung befolgt, doch wenn ich auf cofi.exe klicke passiert nichts. Trotzdem ist wie bei Malwarebytes-Anti-Malware cofi.exe im Taskmanager.
Edit: Nochmal installiert und jetzt kommt ne Fehelermeldung. ''Some installation files are corrupt. Please download a fresh copy and retry the installation.''

cosinus · 12.12.2009, 13:46

Hm. Lösch die alte cofi.exe bitte nochmal und lad sie erneut als cofi.exe herunter (streng nach Anleitung

)
Wenns immer noch nciht klappt, probierst Du das mal bitte in einem anderen (neuen) Benutzerkonto mit Adminrechten. Kannst Du über die Systemsteuerung => Benutzerkonten erstellen. Einfach einen neuen User dort anlegen (Benutzername ist egal, nenn ihn einfach mal root

) dann abmelden und mit root anmelden. Dann die gleiche combofix-Prozedur nochmal testen.

Kanrei · 12.12.2009, 17:37

Ok hat funktioniert.
Ich bin mir nich sicher aber ich glaube es hat sich was getan. McAfee funktioniert wieder und im Taskmanager steht auch nich mehr iexplore.exe. Hier is der Log:
File-Upload.net - cofi-log.txt

cosinus · 14.12.2009, 09:28

Ok, combofix hat da einiges entfernt. Probier bitte nun noch mal den Durchlauf mit MalwareBytes.

Kanrei · 14.12.2009, 21:47

Jetzt hats funktioniert.
http://www.file-upload.net/download-...4-22-.txt.html
Übrigens McAfee hat auch irgendwas von Messenger Plus 3 oder so gesagt... Kann das nich was mit diesem Swizzor.A Virus zu tun haben? =/

11.12.2009, 14:12	#6
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Verdacht auf Viren-Befall Dann mach erstmal nur Logs mit RSIT und poste diese über file-upload.net __________________ --> Verdacht auf Viren-Befall

14.12.2009, 09:28	#14
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Verdacht auf Viren-Befall Ok, combofix hat da einiges entfernt. Probier bitte nun noch mal den Durchlauf mit MalwareBytes. __________________ Logfiles bitte immer in CODE-Tags posten

Verdacht auf Viren-Befall

Log-Analyse und Auswertung: Verdacht auf Viren-Befall