Hallo Forum,

ich bekomme seit heute folgende Meldung vom Antivir Dienst.

Trojanisches Pferd TR/Dropper.Gen gefunden.

Habe auf Zugriff verweigern geklickt. Die Meldung kommt aber immer wieder.
Jetzt hoffe ich hier auf Hilfe.

Kann mir jemand sagen ob ich den Virus irgendwie löschen kann?

Hier mal mein HijackThis Log:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:22:59, on 15.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\twain_32\fjscan32\FJTWMKSV.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\UltraVNC\WinVNC.exe
C:\Programme\UltraVNC\WinVNC.exe
C:\Programme\Avira\AntiVir Desktop\avnotify.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\Mixer.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\Twain_32\Fjscan32\SOP\FtLnSOP.exe
C:\WINDOWS\Twain_32\fjscan32\FjtwMkup.exe
C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe
C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\twain_32\fjscan32\ERG\FTErGuid.exe
C:\Programme\Forum Verlag\Gebäudebewertung direkt\ForumUpdater.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [FtLnSOP_setup] C:\WINDOWS\Twain_32\Fjscan32\SOP\FtLnSOP.exe
O4 - HKLM\..\Run: [FJTWAIN Setup] C:\WINDOWS\Twain_32\fjscan32\FjtwMkup.exe /Station
O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrobat_sl.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programme\Adobe\Acrobat 9.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WAB] C:\Dokumente und Einstellungen\HKuebler\Anwendungsdaten\Macromedia\Common\e3e3003819.exe
O4 - HKCU\..\Run: [HelpCont] C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\e3e3003819.exe
O4 - HKCU\..\Run: [Beimg] C:\Dokumente und Einstellungen\HKuebler\Anwendungsdaten\Adobe\Update\atmem.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Lisa32 (2).lnk = ?
O4 - Startup: Microsoft Office Outlook 2003.lnk = ?
O4 - Global Startup: Error Recovery Guide.lnk = C:\WINDOWS\twain_32\fjscan32\ERG\FTErGuid.exe
O4 - Global Startup: Forum-Updater.lnk = ?
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1259931539410
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hkv.local
O17 - HKLM\Software\..\Telephony: DomainName = hkv.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = hkv.local
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: FJTWMKSV - PFU LIMITED - C:\WINDOWS\twain_32\fjscan32\FJTWMKSV.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: AUERSWALD UMS Server (telemat) - OSITRON Kommunikationstechnik GmbH - C:\PROGRAMME\GEMEINSAME DATEIEN\AUERSWALD\TELEMAT.EXE
O23 - Service: AUERSWALD UMS Converter (tgconv) - OSITRON Kommunikationstechnik GmbH - C:\PROGRAMME\GEMEINSAME DATEIEN\AUERSWALD\TGCONV.EXE
O23 - Service: uvnc_service - UltraVNC - C:\Programme\UltraVNC\WinVNC.exe

--
End of file - 7650 bytes

Kann mir jemand weiterhelfen?
Vielen Dank!

Hallo und

Logfile von AntiVir mit den Funden bitte nachreichen!

Danach diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Hier mal das AnitVir Log: File-Upload.net - AVSCAN-20100115-160406-B218C06C.LOG

Rest folgt, sobald ich wieder Zugang zum Rechner habe.

Da ich hier glaube ich das falsche Forum erwischt habe gehts hier weiter.

Nein, einfach hier bitte weiterposten, auch die Logs HIER rein. Ein Admin wird die Stränge zusammenlegen

Ok, also hier die Fakts.

AntiVirLog

HiJackThisLog

CCleaner Reinigung durchgeführt. -OK

CCleaner Registry Reiniger durchgeführt. Ein Fehler bekomme ich aber nicht weg:

Zitat:

Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79}

MalwarebytesLog

Zitat:

Zitat von shuthichi

Ok, also hier die Fakts.

AntiVirLog

HiJackThisLog

CCleaner Reinigung durchgeführt. -OK

CCleaner Registry Reiniger durchgeführt. Ein Fehler bekomme ich aber nicht weg:

MalwarebytesLog

Habe nach dem Malwarebytes Durchlauf mal neu gestartet. Es kommt keine Antivir Meldung mehr? Wars das etwa schon?

Grüße
shuthichi

Machst Du Onlinebanking mit der befallenen Kisten? Sieht nach nem Silentbanker aus
Bitte mal CF anwenden:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hallo Cosinus,

danke für deine Hilfe!
Ich habe eine frage zu dem ComboFix. Habe mir gerade mal den Leitfaden durchgelesen.

Ich mach das alles remote, über ultravnc. Könnte das zu Problemen fürhen?
Da steht drin dass ComboFix die Internetverbindung trennt. Und wieder automatisch herstellt. Aber ist das denn sichergestellt. Habe im Moment keinen physischen Zugriff auf die Kiste...

Oha! Nee, mach Combofix nur, wenn Du direkt vor der Kiste sitzt. Würde ich nicht über Remote-Desktop oder VNC machen. Und wenn dann machst Du das auf eigene Gefahr

Bist Du irgendwann mal direkt vor der Kiste?

Evtl. könnte ich das morgen mal machen. Da bin ich zumindest in der Nähe...
Was bringt dich zu dem Verdacht mit dem Silentbanker?
Wie gesagt, Antivir bringt keine Meldungen mehr. Und Malwarebytes hat 5 "Sachen" entfernt...

Silentbanker deswegen:

Zitat:

C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\e3e300381.dll (Hijack.Sound)

Das ist der typische Silentbanker-Pfad

Jetzt wirds interessant.
Das gleiche Problem hatte ich an nem anderen Rechner von der selben Person schon einmal. Damals habe ich die Kiste einfach neu installiert.

Wie kann man sich den selben Wurm zweimal einfangen? Und zu deiner Frage vorhin. Ja, wenn ich mich nicht täusche wurde auf beiden Geräten Online Banking betrieben.

Kannst du eine grobe Aussage treffen wie man an den Silentbraker kommt? Bzw. sich den einfängt?

Danke!