Hallo,

ich habe nicht viel Ahnung von Computern – und mir offenbar trotz Virenprogramm (AVG) erstmals einen Trojaner eingefangen.

Mein Problem begann damit, dass der AVG Residentenschutz beim Surfen mit Firefox warnte:
Trojaner Backdoor.Generic12.Bkpa

Fast zeitgleich erschien das Java-Symbol in der Leiste unten rechts.

Ich habe dann folgende Meldung infizierter Dateien im AVG Residentenschutz gefunden:

C:/Windows/system32/drivers/ctxvxffc.sys
C:/Windows/system32/drivers/asynxmac.sys
C:/Windows/system32/drivers/aec.sys

Der zweite ließ sich nicht entfernen. AVG-Kommentar „das Objekt befindet sich auf der Whitelist und ist eine wichtige Systemdatei, die nicht entfernt werden darf“.
Die anderen beiden sind im Virus Vault.

Ich habe danach einen Quickscan mit Malwarebyte gemacht - drei infizierte Dateien gefunden und entfernen lassen. Hier der Log:

Code: Alles auswählenAufklappen

ATTFilter

 
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
 
Datenbank Version: 4183
 
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
 
09.06.2010 11:07:42
mbam-log-2010-06-09 (11-07-42).txt
 
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 120717
Laufzeit: 6 Minute(n), 12 Sekunde(n)
 
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3
 
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
 
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
 
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
 
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
 
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
 
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
 
Infizierte Dateien:
C:\WINDOWS\Temp\24.tmp (Rootkit.TDSS.Gen) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\25.tmp (Rootkit.TDSS.Gen) -> Delete on reboot.
C:\Dokumente und Einstellungen\petrina\Anwendungsdaten\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
         

Im Task Manager sah ich zunächst eine Datei namens cmd.exe zu um die 35% auslasten, die ist nach dem Neustart verschwunden, dafür belastet svchost jetzt zu ca. 50%. Auch wenn ich die Internetverbindung kappe.

Ich habe hier nichts zu genau diesem Problem gefunden (oder ich habe es nicht verstanden ;-)) und hoffe, ihr könnt mir mit einer für Laien verständlichen Anleitung helfen.

Mein Rechner (Samsung Laptop) läuft mit Window XP. Ich nutze die Windows-Firewall und das Virenprogramm AVG.

Die Logs von den Malwarebyte (Full Scan, keine Infizierungen mehr festgestellt) und Hijack This poste ich direkt hinterher, bei dem dritten geforderten Test weiß ich nicht, welches System ich habe, also versuche ich es mit OTL.

Vielen Dank schon mal!

Her der Malwarebyte Full Scan:

Code: Alles auswählenAufklappen

ATTFilter

 
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
 
Datenbank Version: 4183
 
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
 
09.06.2010 12:19:23
mbam-log-2010-06-09 (12-19-23).txt
 
Art des Suchlaufs: Vollständiger Suchlauf (C:\|D:\|E:\|)
Durchsuchte Objekte: 193708
Laufzeit: 42 Minute(n), 42 Sekunde(n)
 
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
 
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
 
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
 
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
 
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
 
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
 
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
 
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Und hier Hijack This - leider in mehrere Teile geschnitten, ich kriege es sonst nicht hochgeladen:

Code: Alles auswählenAufklappen

ATTFilter

 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:08:54, on 09.06.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
 
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\AVG\AVG9\avgchsvx.exe
D:\AVG\AVG9\avgrsx.exe
C:\WINDOWS\system32\spoolsv.exe
D:\AVG\AVG9\avgcsrvx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
D:\AVG\AVG9\avgwdsvc.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\hkcmd.exe
D:\AVG\AVG9\avgtray.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\AGRSMMSG.exe
D:\iTunes\iTunesHelper.exe
C:\Programme\Samsung\DisplayManager\dmhkcore.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\siszpe32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\igfxext.exe
C:\Programme\SRS Labs\WOWXT and TSXT Driver\SRS_PostInstaller.exe
D:\AVG\AVG9\avgnsx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
D:\Firefox\firefox.exe
D:\Firefox\firefox.exe
D:\Hijackthis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - D:\AVG\AVG9\avgssie.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [DMHotKey] C:\Programme\Samsung\DisplayManager\DMLoader.exe
O4 - HKLM\..\Run: [AVG9_TRAY] D:\AVG\AVG9\avgtray.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [Power2GoExpress] NA
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: siszpe32.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
 
(geht noch weiter)
         

Hallo und


Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

Lieber Arne,

vielen Dank für Ihre Antwort- und sorry, dass ich etwas Zeit brauchte. Ich sitze in den USA (6 Std hinter der deutschen Zeit), und wie es der Teufel will, hat jetzt auch noch ein Tier (Marder?) die Außenkabel für sich entdeckt und ich musste ein Café finden, in dem ich Files downloaden kann ...

Im Moment hat sich die Auslastung offenbar normalisiert. Vorher hat eine svchost.exe die CPU um die 50% belastet - und zwar nur, wenn ich mit dem Internet verbunden war.


OTL Logfiles im Anhang!

Beende alle Programme, starte OTL und kopiere folgenden Text in die "Custom Scan/Fixes" Box (unten in OTL): (das ":OTL" muss mitkopiert werden!!!)

Code: Alles auswählenAufklappen

ATTFilter

:OTL
MOD - C:\WINDOWS\system32\qproider.dll ()
O4 - HKCU..\Run: [Power2GoExpress]  File not found
O4 - Startup: C:\Dokumente und Einstellungen\petrina\Startmenü\Programme\Autostart\siszpe32.exe ()
O33 - MountPoints2\{11128d8b-0502-11df-a91e-00137727da1a}\Shell\AutoRun\command - "" = G:\.\Recycled\Driveinfo.exe -- File not found
O33 - MountPoints2\{11128d8b-0502-11df-a91e-00137727da1a}\Shell\Open\Command - "" = G:\.\Recycled\Driveinfo.exe -- File not found
O36 - AppCertDlls: fixmator - (C:\WINDOWS\system32\qproider.dll) - C:\WINDOWS\system32\qproider.dll ()

:Files
C:\WINDOWS\system32\qproider.dll
C:\Dokumente und Einstellungen\petrina\Startmenü\Programme\Autostart\siszpe32.exe

:Commands
[purity]
[resethosts]
[emptytemp]
         

Klick dann auf den Button Run Fixes!
Das Logfile müsste geöffnet werden, wenn Du nach dem Fixen auf ok klickst, poste das bitte. Evtl. wird der Rechner neu gestartet.

Vielen Dank, Arne. Log hängt an.

Dann jetzt bitte CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Kurze Rückfrage: Mein Virenprogramm ist AVG, und das hat seit einiger Zeit leider keine Funktion mehr fürs vorübergehende Ausschalten. Ich kann nur ein, zwei Teilbereiche (z.B. E-Mail) deaktivieren. Reicht das?

Deinstalliere es vorher. Ein Hintergrundwächter kommt nicht gut bei CF.

Combofix Logfile:

Code: Alles auswählenAufklappen

ATTFilter

ComboFix 10-06-09.04 - *** 10.06.2010  15:50:34.1.2 - x86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.49.1031.18.1014.725 [GMT -4:00]
ausgeführt von:: d:\combofix\cofi.exe
.

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\SEC
c:\windows\SEC\CLEANUPFOLDER.INI
c:\windows\SEC\CONFIGSYS.EXE
c:\windows\SEC\INSTALL.EXE
c:\windows\SEC\INSTALL.INI
c:\windows\SEC\JRE150.EXE
c:\windows\SEC\MP10GER.EXE

Infizierte Kopie von c:\windows\system32\drivers\isapnp.sys wurde gefunden und desinfiziert 
Kopie von - Kitty had a snack :p wurde wiederhergestellt 
.
(((((((((((((((((((((((   Dateien erstellt von 2010-05-10 bis 2010-06-10  ))))))))))))))))))))))))))))))
.

2010-06-09 23:16 . 2010-06-09 23:16	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\TEMP
2010-06-09 23:13 . 2010-06-09 23:13	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Simply Super Software
2010-06-09 14:46 . 2010-06-09 14:46	--------	d-----r-	c:\dokumente und einstellungen\NetworkService\Favoriten
2010-06-09 14:30 . 2010-06-09 14:30	46592	----a-w-	c:\windows\system32\qproider.dll
2010-06-08 03:53 . 2010-06-08 03:53	--------	d-----w-	c:\windows\system32\XPSViewer
2010-06-08 03:53 . 2010-06-08 03:53	--------	d-----w-	c:\programme\MSBuild
2010-06-08 03:53 . 2010-06-08 03:53	--------	d-----w-	c:\programme\Reference Assemblies
2010-06-08 03:52 . 2008-07-06 12:06	89088	----a-w-	c:\windows\system32\Spool\prtprocs\w32x86\filterpipelineprintproc.dll
2010-06-08 03:52 . 2008-07-06 12:06	89088	-c----w-	c:\windows\system32\dllcache\filterpipelineprintproc.dll
2010-06-08 03:52 . 2008-07-06 12:06	575488	-c----w-	c:\windows\system32\dllcache\xpsshhdr.dll
2010-06-08 03:52 . 2008-07-06 12:06	575488	------w-	c:\windows\system32\xpsshhdr.dll
2010-06-08 03:52 . 2008-07-06 12:06	1676288	-c----w-	c:\windows\system32\dllcache\xpssvcs.dll
2010-06-08 03:52 . 2008-07-06 12:06	1676288	------w-	c:\windows\system32\xpssvcs.dll
2010-06-08 03:52 . 2008-07-06 12:06	117760	------w-	c:\windows\system32\prntvpt.dll
2010-06-08 03:52 . 2008-07-06 10:50	597504	-c----w-	c:\windows\system32\dllcache\printfilterpipelinesvc.exe
2010-06-08 03:52 . 2008-07-06 10:50	597504	------w-	c:\windows\system32\Spool\prtprocs\w32x86\printfilterpipelinesvc.exe
2010-06-08 03:52 . 2010-06-08 03:52	--------	d-----w-	C:\b1dff9e0c48ce56837ec
2010-06-02 14:07 . 2010-06-02 14:07	29512	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\backup\avgmfx86.sys
2010-06-02 14:07 . 2010-06-02 14:07	242896	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9\update\backup\avgtdix.sys
2010-05-24 17:47 . 2010-05-24 17:47	61440	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-6d9fe461-n\decora-sse.dll
2010-05-24 17:47 . 2010-05-24 17:47	503808	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-60efe52d-n\msvcp71.dll
2010-05-24 17:47 . 2010-05-24 17:47	499712	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-60efe52d-n\jmc.dll
2010-05-24 17:47 . 2010-05-24 17:47	348160	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\46\f84c6ae-60efe52d-n\msvcr71.dll
2010-05-24 17:47 . 2010-05-24 17:47	12800	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\50\5535ab32-6d9fe461-n\decora-d3d.dll
2010-05-13 12:01 . 2010-05-13 12:01	--------	d-----w-	c:\programme\iPod
2010-05-13 12:01 . 2010-05-13 12:02	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2010-05-13 11:59 . 2010-05-13 11:59	--------	d-----w-	c:\programme\QuickTime
2010-05-13 11:56 . 2010-05-13 11:56	--------	d-----w-	c:\programme\Bonjour
2010-05-13 11:54 . 2010-05-13 11:54	73000	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Apple Computer\Installer Cache\iTunes 9.1.1.12\SetupAdmin.exe

.
((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2010-06-10 19:32 . 2009-11-26 23:13	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\avg9
2010-06-09 14:41 . 2008-03-15 19:53	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Skype
2010-06-09 14:30 . 2010-06-09 14:30	20	----a-w-	c:\windows\system32\config\systemprofile\Anwendungsdaten\qcopjv.dat
2010-06-09 14:14 . 2008-03-15 19:55	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\skypePM
2010-06-09 02:20 . 2008-06-09 01:38	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\ZoomBrowser
2010-06-08 04:11 . 2004-08-04 12:00	81324	----a-w-	c:\windows\system32\perfc007.dat
2010-06-08 04:11 . 2004-08-04 12:00	452544	----a-w-	c:\windows\system32\perfh007.dat
2010-06-03 15:29 . 2008-04-13 16:35	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Apple Computer
2010-05-13 12:01 . 2008-04-13 16:34	--------	d-----w-	c:\programme\Gemeinsame Dateien\Apple
2010-05-10 16:16 . 2010-05-10 16:16	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Malwarebytes
2010-05-10 16:16 . 2010-05-10 16:16	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2010-05-10 15:58 . 2009-03-19 19:47	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2010-05-09 15:42 . 2007-10-25 21:17	--------	d-----w-	c:\programme\Java
2010-05-07 23:11 . 2010-05-07 23:11	41	----a-w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Microsoft\Windows NT\msqlite.dll
2010-05-02 03:21 . 2008-04-13 15:42	--------	d-----w-	c:\dokumente und einstellungen\***\Anwendungsdaten\FileZilla
2010-04-29 19:39 . 2010-05-10 16:16	38224	----a-w-	c:\windows\system32\drivers\mbamswissarmy.sys
2010-04-29 19:39 . 2010-05-10 16:16	20952	----a-w-	c:\windows\system32\drivers\mbam.sys
2010-04-23 12:16 . 2010-04-23 12:16	--------	d-----w-	c:\programme\Gemeinsame Dateien\Skype
2010-04-23 12:16 . 2008-03-15 19:53	--------	d-----w-	c:\dokumente und einstellungen\All Users\Anwendungsdaten\Skype
2010-04-12 21:29 . 2010-05-09 15:42	411368	----a-w-	c:\windows\system32\deployJava1.dll
2010-04-08 17:20 . 2010-04-08 17:20	91424	----a-w-	c:\windows\system32\dnssd.dll
2010-04-08 17:20 . 2010-04-08 17:20	107808	----a-w-	c:\windows\system32\dns-sd.exe
2010-04-02 11:00 . 2010-04-02 11:00	503808	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-652e4534-n\msvcp71.dll
2010-04-02 11:00 . 2010-04-02 11:00	499712	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-652e4534-n\jmc.dll
2010-04-02 11:00 . 2010-04-02 11:00	348160	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-652e4534-n\msvcr71.dll
2010-04-02 11:00 . 2010-04-02 11:00	61440	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-1b653d89-n\decora-sse.dll
2010-04-02 11:00 . 2010-04-02 11:00	12800	----a-w-	c:\dokumente und einstellungen\***\Anwendungsdaten\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-1b653d89-n\decora-d3d.dll
.

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. 
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Verknüpfung mit der High Definition Audio-Eigenschaftenseite"="HDAShCut.exe" [2005-01-07 61952]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2005-02-02 102492]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2007-12-06 1024000]
"SunJavaUpdateSched"="c:\programme\Gemeinsame Dateien\Java\Java Update\jusched.exe" [2010-02-18 248040]
"SoundMAXPnP"="c:\programme\Analog Devices\Core\smax4pnp.exe" [2005-05-20 925696]
"MagicKeyboard"="c:\programme\SAMSUNG\MagicKBD\PreMKBD.exe" [2005-04-11 151552]
"IntelZeroConfig"="c:\programme\Intel\Wireless\bin\ZCfgSvc.exe" [2007-11-01 995328]
"IntelWireless"="c:\programme\Intel\Wireless\Bin\ifrmewrk.exe" [2007-11-01 1101824]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-12-15 98304]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-12-15 118784]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-12-15 77824]
"DMHotKey"="c:\programme\Samsung\DisplayManager\DMLoader.exe" [2005-11-23 356352]
"AGRSMMSG"="AGRSMMSG.exe" [2005-12-12 88204]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 40048]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2010-03-18 421888]
"iTunesHelper"="d:\itunes\iTunesHelper.exe" [2010-04-28 142120]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Microsoft Office OneNote 2003 Schnellstart.lnk]
path=c:\dokumente und einstellungen\All Users\Startmenü\Programme\Autostart\Microsoft Office OneNote 2003 Schnellstart.lnk
backup=c:\windows\pss\Microsoft Office OneNote 2003 Schnellstart.lnkCommon Startup

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^petrina^Startmenü^Programme^Autostart^OpenOffice.org 3.1.lnk]
path=c:\dokumente und einstellungen\petrina\Startmenü\Programme\Autostart\OpenOffice.org 3.1.lnk
backup=c:\windows\pss\OpenOffice.org 3.1.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BatteryManager]
2006-04-25 12:05	2764800	----a-w-	c:\programme\SAMSUNG\Samsung Battery Manager\BatteryManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2010-04-28 19:06	142120	----a-w-	d:\itunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PDFPrint]
2010-03-11 08:02	208528	----a-w-	d:\pdf24 creator\pdf24\pdf24.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
2010-03-18 01:53	421888	----a-w-	c:\programme\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
2004-11-02 18:24	32768	----a-w-	c:\programme\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager\appcertdlls]
fixmator	REG_SZ         	

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"d:\\Skype\\Plugin Manager\\skypePM.exe"=
"c:\\Programme\\Bonjour\\mDNSResponder.exe"=
"d:\\iTunes\\iTunes.exe"=
"d:\\Skype\\Phone\\Skype.exe"=

R0 BsStor;B.H.A Storage Helper Driver;c:\windows\system32\drivers\BsStor.sys [25.10.2007 17:38 10112]
R2 DOSMEMIO;MEMIO;c:\windows\system32\MEMIO.SYS [25.10.2007 17:39 4300]
R2 SRS_PostInstaller;SRS PostInstaller Service;c:\programme\SRS Labs\WOWXT and TSXT Driver\SRS_PostInstaller.exe [28.11.2005 06:06 31744]
R3 wowfilter;WOW XT Filter Driver;c:\windows\system32\drivers\WOWFilter.sys [28.11.2005 06:06 19456]
S0 ctxvxffc;ctxvxffc; [x]
.
Inhalt des "geplante Tasks" Ordners

2010-05-13 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
uInternet Settings,ProxyOverride = *.local
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0sgso3lj.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.de
FF - plugin: c:\dokumente und einstellungen\***\Anwendungsdaten\Mozilla\Firefox\Profiles\0sgso3lj.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071303000006.dll
FF - plugin: d:\firefox\plugins\npdeployJava1.dll
FF - plugin: d:\firefox\plugins\nppopcaploader.dll
FF - plugin: d:\itunes\Mozilla Plugins\npitunes.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

---- FIREFOX Richtlinien ----
d:\firefox\greprefs\all.js - pref("ui.use_native_colors", true);
d:\firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
d:\firefox\greprefs\all.js - pref("svg.smil.enabled", false);
d:\firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
d:\firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
d:\firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
d:\firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation",  false);
d:\firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
d:\firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
d:\firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

MSConfigStartUp-OM_Monitor - d:\olympus\Monitor.exe



**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, hxxp://www.gmer.net
Rootkit scan 2010-06-10 15:54
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse... 

Scanne versteckte Autostarteinträge... 

Scanne versteckte Dateien... 

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Gesperrte Registrierungsschluessel ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]
"7040710900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]
"7040110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
Zeit der Fertigstellung: 2010-06-10  15:56:06
ComboFix-quarantined-files.txt  2010-06-10 19:56

Vor Suchlauf: 8 Verzeichnis(se), 26.936.823.808 Bytes frei
Nach Suchlauf: 11 Verzeichnis(se), 26.888.036.352 Bytes frei

WindowsXP-KB310994-SP2-Home-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - 0667E025000938560F8A5A459381ECD8
         

--- --- ---

Combofix - Scripten

1. Starte das Notepad (Start / Ausführen / notepad[Enter])

2. Jetzt füge mit copy/paste den ganzen Inhalt der untenstehenden Codebox in das Notepad Fenster ein.

Code: Alles auswählenAufklappen

ATTFilter

http://www.trojaner-board.de/86920-hohe-auslastung-durch-svchost-exe-wegen-backdoor-generic12-bkpa.html

Collect::
c:\windows\system32\qproider.dll

File::
c:\windows\system32\config\systemprofile\Anwendungsdaten\qcopjv.dat

Driver::
ctxvxffc
         

3. Speichere im Notepad als CFScript.txt auf dem Desktop.

4. Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen und den Tea Timer (wenn vorhanden) !)

5. Dann ziehe die CFScript.txt auf die cofi.exe, so wie es im unteren Bild zu sehen ist. Damit wird Combofix neu gestartet.



6. Nach dem Neustart (es wird gefragt ob Du neustarten willst), poste bitte die folgenden Log Dateien:
Combofix.txt

Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann!

Lieber Arne,

schon mal vorab ganz herzlichen Dank, dass du so individuell auf mein Problem antwortest. Ich hatte AVG gerade wieder neu installiert, aber ich werd's halt wieder deinstallieren ... ;-)

Ich hab den Logfile angehängt.

Ist mein Rechner jetzt sauber?

Und sollte ich irgendetwas ändern, damit so was nicht noch mal passiert?

Sieht ok aus. Mach bitte zur Kontrolle Vollscans mit Malwarebytes und SUPERAntiSpyware und poste die Logs.
Denk dran beide Tools zu updaten vor dem Scan!!

Hallo,

während Malwarebytes lief, bekam ich schon wieder eine Warnmeldung von AVG mit demselben Trojaner (diesmal ließ sich aber alles in Quarantäne bringen):

"Virus identifiziert: Win32/Patched.DX";"c:\System Volume Information\_restore{1D7177E8-097D-4396-8593-850889EE9562}\RP13\A0003311.sys";"In Virenquarantäne verschoben";"13.06.2010, 13:23:17";"Datei";"D:\Malwarebytes\Malwarebytes' Anti-Malware\mbam.exe"
"Virus gefunden: Win32/Cryptor";"c:\System Volume Information\_restore{1D7177E8-097D-4396-8593-850889EE9562}\RP11\A0002943.exe";"In Virenquarantäne verschoben";"13.06.2010, 13:22:55";"Datei";"D:\Malwarebytes\Malwarebytes' Anti-Malware\mbam.exe"
"Trojaner: BackDoor.Generic12.BPKA";"c:\System Volume Information\_restore{1D7177E8-097D-4396-8593-850889EE9562}\RP10\A0002790.sys";"In Virenquarantäne verschoben";"13.06.2010, 13:22:47";"Datei";"D:\Malwarebytes\Malwarebytes' Anti-Malware\mbam.exe"

Und kurz darauf kam noch:
"Virus gefunden: Win32/Cryptor";"d:\_OTL\MovedFiles\06102010_133410\C_Dokumente und Einstellungen\petrina\Startmenü\Programme\Autostart\siszpe32.exe";"In Virenquarantäne verschoben";"13.06.2010, 13:48:46";"Datei";"D:\Malwarebytes\Malwarebytes' Anti-Malware\mbam.exe"

Ich habe Malwarebytes trotzdem weiterlaufen lassen, Logfile hängt an.

Der andere Scan folgt!