Liebes Trojaner Team,

ich weiß, dies ist der 5. Beitrag zu diesem Thema, aber ich komme leider mit den anderen Beiträgen nicht weiter.

Folgende Schritte habe ich bereits durchgeführt:

1. rkill
2. CCl Clener
3. malewarebyts
4. OTL
5. Antivir
6. superantispyware - Keine Funde hier

alle logfiles anbei.

Leider komme ich immer noch nicht ins Internet. Ich kann weder den Internet Explorer öffnen (bzw. öffnen lässt er sich schon, melder dann jedoch, dass er keine Seite finden kann), noch kann ich die erforderlichen Updates für Antivir etc. durchführen.

Ich schreibe nun vom Laptop, mit dem ich mir bisher auch alle Programme runtergezogen hab.

Ich hoffe sehr auf eure Unterstützung, da ich jetzt ziemlcih mit meinem Latein am Ende bin

Viele Grüße
Yvonne

_________________
rkill:

This log file is located at C:\rkill.log.
Please post this only if requested to by the person helping you.
Otherwise you can close this log when you wish.
Ran as Ute Brand on 03.06.2010 at 19:24:56.


Processes terminated by Rkill or while it was running:


C:\Users\Ute Brand\AppData\Roaming\F16629E54B74831139AF9FCD595DE3AA\gotnewupdate000.exe
C:\Users\Ute Brand\AppData\Local\rlgavswsv\nbtgksitssd.exe
C:\Users\Ute Brand\Desktop\rkill.exe


Rkill completed on 03.06.2010 at 19:24:59.


____________________

Antivir Log:

vira AntiVir Personal
Erstellungsdatum der Reportdatei: Donnerstag, 3. Juni 2010 20:17

Es wird nach 2183664 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows Vista
Windowsversion : (plain) [6.1.7600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : UTEBRAND-PC

Versionsinformationen:
BUILD.DAT : 9.0.0.422 21701 Bytes 09.03.2010 10:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 22.11.2009 12:46:14
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 12:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 11:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 10:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 12:46:14
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 12:46:14
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 17:12:11
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 17:29:54
VBASE004.VDF : 7.10.4.203 1579008 Bytes 05.03.2010 09:04:42
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.04.2010 07:39:53
VBASE006.VDF : 7.10.6.83 2048 Bytes 15.04.2010 07:39:53
VBASE007.VDF : 7.10.6.84 2048 Bytes 15.04.2010 07:39:53
VBASE008.VDF : 7.10.6.85 2048 Bytes 15.04.2010 07:39:53
VBASE009.VDF : 7.10.6.86 2048 Bytes 15.04.2010 07:39:53
VBASE010.VDF : 7.10.6.87 2048 Bytes 15.04.2010 07:39:54
VBASE011.VDF : 7.10.6.88 2048 Bytes 15.04.2010 07:39:54
VBASE012.VDF : 7.10.6.89 2048 Bytes 15.04.2010 07:39:54
VBASE013.VDF : 7.10.6.90 2048 Bytes 15.04.2010 07:39:54
VBASE014.VDF : 7.10.6.123 126464 Bytes 19.04.2010 12:36:54
VBASE015.VDF : 7.10.6.152 123392 Bytes 21.04.2010 12:36:55
VBASE016.VDF : 7.10.6.178 122880 Bytes 22.04.2010 20:31:45
VBASE017.VDF : 7.10.6.206 120320 Bytes 26.04.2010 19:23:12
VBASE018.VDF : 7.10.6.232 99328 Bytes 28.04.2010 12:09:29
VBASE019.VDF : 7.10.7.2 155648 Bytes 30.04.2010 12:09:27
VBASE020.VDF : 7.10.7.26 119808 Bytes 04.05.2010 19:10:29
VBASE021.VDF : 7.10.7.51 118272 Bytes 06.05.2010 19:10:29
VBASE022.VDF : 7.10.7.75 404992 Bytes 10.05.2010 19:10:31
VBASE023.VDF : 7.10.7.100 125440 Bytes 13.05.2010 11:05:39
VBASE024.VDF : 7.10.7.119 177664 Bytes 17.05.2010 09:20:37
VBASE025.VDF : 7.10.7.139 129024 Bytes 19.05.2010 13:49:38
VBASE026.VDF : 7.10.7.157 145920 Bytes 21.05.2010 14:44:12
VBASE027.VDF : 7.10.7.173 147456 Bytes 25.05.2010 18:30:41
VBASE028.VDF : 7.10.7.189 120320 Bytes 27.05.2010 09:26:19
VBASE029.VDF : 7.10.7.202 130560 Bytes 31.05.2010 18:40:30
VBASE030.VDF : 7.10.7.203 2048 Bytes 31.05.2010 18:40:30
VBASE031.VDF : 7.10.7.210 116736 Bytes 01.06.2010 18:40:31
Engineversion : 8.2.1.242
AEVDF.DLL : 8.1.2.0 106868 Bytes 24.04.2010 20:31:50
AESCRIPT.DLL : 8.1.3.29 1343866 Bytes 15.05.2010 11:05:44
AESCN.DLL : 8.1.6.1 127347 Bytes 15.05.2010 11:05:42
AESBX.DLL : 8.1.3.1 254324 Bytes 24.04.2010 20:31:50
AERDL.DLL : 8.1.4.6 541043 Bytes 18.04.2010 07:40:03
AEPACK.DLL : 8.2.1.1 426358 Bytes 20.03.2010 16:05:08
AEOFFICE.DLL : 8.1.1.0 201081 Bytes 15.05.2010 11:05:42
AEHEUR.DLL : 8.1.1.27 2670967 Bytes 10.05.2010 19:10:37
AEHELP.DLL : 8.1.11.3 242039 Bytes 02.04.2010 09:22:07
AEGEN.DLL : 8.1.3.9 377203 Bytes 15.05.2010 11:05:41
AEEMU.DLL : 8.1.2.0 393588 Bytes 24.04.2010 20:31:48
AECORE.DLL : 8.1.15.3 192886 Bytes 15.05.2010 11:05:40
AEBB.DLL : 8.1.1.0 53618 Bytes 24.04.2010 20:31:47
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 08:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 09.11.2009 13:18:46
AVREP.DLL : 8.0.0.7 159784 Bytes 19.02.2010 13:17:45
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 15:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 15:05:37
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 10:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 15:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 08:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 15:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 15:35:17
RCTEXT.DLL : 9.0.73.0 87297 Bytes 22.11.2009 12:46:14

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: c:\program files\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Donnerstag, 3. Juni 2010 20:17

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '21631' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'audiodg.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'notepad.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqgpc01.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqbam08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqste08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmpnetwk.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'meinsparbuchheute.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GrooveMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuschd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLMLSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtHDVCpl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WUDFHost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchIndexer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSVCM.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLIDSVC.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlwriter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sqlbrowser.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PSIService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'FABS.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'BcmSqlStartupSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'dwm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'taskhost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atieclxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'atiesrxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wininit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '56' Prozesse mit '56' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
[INFO] Bitte starten Sie den Suchlauf erneut mit Administratorrechten

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '34' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <BOOT>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\Users\Ute Brand\AppData\Local\Temp\eonarsmwcx.exe
[0] Archivtyp: RAR SFX (self extracting)
--> ezwi1810.exe
[1] Archivtyp: NSIS
--> ProgramFilesDir/[UnknownDir].dll
[FUND] Ist das Trojanische Pferd TR/BHO.OHL
--> vowi510.exe
[1] Archivtyp: NSIS
--> ProgramFilesDir/[TempDir]/[UnknownDir].dll
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Agent.NEC
--> smwi1810.exe
[FUND] Enthält Erkennungsmuster des Droppers DR/BHO.OHL
--> ProgramFilesDir/[UnknownDir].dll
[FUND] Ist das Trojanische Pferd TR/BHO.OHL.1
C:\Users\Ute Brand\AppData\Local\Temp\RarSFX0\ezwi1810.exe
[0] Archivtyp: NSIS
--> ProgramFilesDir/[UnknownDir].dll
[FUND] Ist das Trojanische Pferd TR/BHO.OHL
C:\Users\Ute Brand\AppData\Local\Temp\RarSFX0\vowi510.exe
[0] Archivtyp: NSIS
--> ProgramFilesDir/[TempDir]/[UnknownDir].dll
[FUND] Enthält Erkennungsmuster der Ad- oder Spyware ADSPY/Agent.NEC
Beginne mit der Suche in 'D:\' <RECOVER>

Beginne mit der Desinfektion:
C:\Users\Ute Brand\AppData\Local\Temp\eonarsmwcx.exe
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c75fc08.qua' verschoben!
C:\Users\Ute Brand\AppData\Local\Temp\RarSFX0\ezwi1810.exe
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c7efc13.qua' verschoben!
C:\Users\Ute Brand\AppData\Local\Temp\RarSFX0\vowi510.exe
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c7efc08.qua' verschoben!


Ende des Suchlaufs: Donnerstag, 3. Juni 2010 20:59
Benötigte Zeit: 41:53 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

15745 Verzeichnisse wurden überprüft
223694 Dateien wurden geprüft
6 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
223686 Dateien ohne Befall
2168 Archive wurden durchsucht
2 Warnungen
5 Hinweise
21631 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

hallo Yvonne,

mach bitte noch ein HJT File und poste es hier. ich hatte den trojaner vor kurzem auch, allerdings scheint es als hätte ich ihn und alle subtrojaner erfolgreich entfernt. versuche avira manuell upzudaten.
ausserdem kannst du prevx laufen lassen und alle funde mit avira ins quarantäne verzeichnis stellen.
ebenso kannst du alle derminated prozesse von rkill ins quarantäne verzeichnis von avira stellen.
meine internetverbindung hat auch ien bisschen gesponnen, allerdings hab ich es via router neustart immer geschafft eine verbindung herzustellen.

Hey,

ich habe schon versucht antivir manuell zu updaten, aber ich bekomme auch dann sofort eine Fehlermeldung.

Leider kann ich auch Hijack This nicht ausführen. Auch da bekomme ich eine Feldermeldung:
"Fore some reasin your system denied write access to the Hosts file. If any hijacked domains are in this file, HijackThis may NOT be able to fix this."
Und dann erstellt er auch keine Logdatei.


Eine Internetverbindung habe ich, ich kann zum Beispiel alle Mails via Outlook abrufen, nur der Explorer und Updates funktioneieren nicht.

Tut mir leid, meine Kenntnisse sind hier auch langsam begrenzt. Was meinst du genau, was ich in Quarantäne stellen soll?

Viele Grüße
Yvonne

diese 2 dateien

Zitat:

C:\Users\Ute Brand\AppData\Roaming\F16629E54B74831139AF9FCD595DE3AA\gotnewupdate000.exe
C:\Users\Ute Brand\AppData\Local\rlgavswsv\nbtgksitssd.exe

in avira quarantäne.
wenn die malware alle versuche blockiert, probier im sicheren modus (mit netzwerk) neuzustarten und dann dort rkill laufen zu lassen, sowie Malwarebytes antimalware, avira und prevx.
wenn möglich alles dort updaten.
prevx wird bei dir vermutlich dann eine menge trojaner finden, sie aber nicht löschen (weils nur eine free version ist). deshalb die trojaner auch mit avira in quarantäne stellen.

hijackthis is wichtig, dass du es in einem eigenen ordner hast.

ausserdem ist es wichtig alle programme als admin auszuführen (vista / win 7).

Guten Morgen,

ich habe leider auch im abgesicherten Modus dasselbe Problem mit dem Internet.
Die beiden Dateien die ich in die Quaratäne verschieben sollte existieren bereits nicht mehr.
Ich hoffe das ist ein gutes Zeichen.
Leider bin ich jetzt aber immer noch keinen Schritt weiter!
Hat jemand noch eine Idee?

Es wäre wirklich toll, wenn ich hier Hilfe finden könnte für mein Problem!

Viele Grüße
Yvonne

Nun habe ich nochmals einen Antivir Scan nach einem manuellen Update durchgefürht und er hat folgendes gefunden:

WORM/VBNA.B.201

Wie soll ich nun weitermachen?

Viele Grüße
Yvonne

Wenn du Rkill ausführst, schließt er noch etwas ausser sich selbst?

Aufjedenfall lad dir Prevx runter und lass dein System damit einmal scannen.