Hallo Leute dies ist mein erster Thread hier und ich hoffe das ich alles soweit richtig mache
Hab mir dei regeln, etc durchgelesen und arbeite mal ab.

Hier mein Problem..

Hab schon seit ein paar Wochen das Problem das mein PC am spinnen ist. Sei es das Mozilla nicht mehr funktioniert oder auch das bestimmte Zeichen wie z.B. ^^ oder `` automatisch doppelt geschrieben werden oder auch das mein PC plötzlich anfängt irgendwelche Tasks zu beenden z.B. den Explorer, ICQ, Mediaplayer, etc.
Außerdem bekomme ich von AntiVir andauernd Virusfunde aufgezeigt doch bevor ich reagieren/gucken kann sind die AntiVir Fenster wieder verschwunden ohne das ich i.was gemacht habe.
Virenscanns, Ccleaner benutze ich regelmäßig haben aber nicht sonderlich viel gebracht. Hab mir auch schon ein Prgramm Namens TaskManger17 runtergeladen um zu schauen ob ich irgendwelche verdächtigen Programme im TaskManager hab. Aber auch dem war nich so.

Der Hammer kam heute als mir ein Kumpel schrieb das ich plötzlich ohne meines wissens schädliche Links via ICQ, MSN, oder auch MeinVZ verschicke.

Da hab ich direkt nochmal nen Scann gemacht und dabei rausgekommen sind ein paar Viren unter anderem ein BackdoorServer.

Ich poste euch hier mal den Abschlußbericht von AntiVir und hoffe das ihr mir helfen könnt. Erstens wie ich den ganzen kram wieder loswerde und zweitens ob da irgendwas bei ist was wirklich gefährlich ist.

Solltet ihr evtl weiter Infos brauchen so stelle ich diese natürlich gerne und unverzüglich zur Verfügung =)

mfg
Hillix

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 5. September 2010 20:42

Es wird nach 2777015 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer : 0000149996-ADJIE-0000001
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : SYSTEM
Computername : HILLI

Versionsinformationen:
BUILD.DAT : 9.0.0.422 21701 Bytes 9.3.2010 10:23:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 19.11.2009 19:22:38
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.2.2009 11:04:10
LUKE.DLL : 9.0.3.2 209665 Bytes 20.2.2009 10:35:44
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.1.2009 09:41:59
VBASE000.VDF : 7.10.0.0 19875328 Bytes 6.11.2009 19:22:38
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 19:22:38
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.1.2010 21:16:23
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.1.2010 20:22:31
VBASE004.VDF : 7.10.4.203 1579008 Bytes 5.3.2010 20:39:03
VBASE005.VDF : 7.10.6.82 2494464 Bytes 15.4.2010 12:31:58
VBASE006.VDF : 7.10.7.218 2294784 Bytes 2.6.2010 21:31:39
VBASE007.VDF : 7.10.9.165 4840960 Bytes 23.7.2010 11:42:40
VBASE008.VDF : 7.10.9.166 2048 Bytes 23.7.2010 11:42:41
VBASE009.VDF : 7.10.9.167 2048 Bytes 23.7.2010 11:42:42
VBASE010.VDF : 7.10.9.168 2048 Bytes 23.7.2010 11:42:42
VBASE011.VDF : 7.10.9.169 2048 Bytes 23.7.2010 11:42:42
VBASE012.VDF : 7.10.9.170 2048 Bytes 23.7.2010 11:42:43
VBASE013.VDF : 7.10.9.198 157696 Bytes 26.7.2010 08:57:04
VBASE014.VDF : 7.10.9.255 997888 Bytes 29.7.2010 08:57:09
VBASE015.VDF : 7.10.10.28 139264 Bytes 2.8.2010 20:12:03
VBASE016.VDF : 7.10.10.52 127488 Bytes 3.8.2010 20:11:49
VBASE017.VDF : 7.10.10.84 137728 Bytes 6.8.2010 12:20:43
VBASE018.VDF : 7.10.10.107 176640 Bytes 9.8.2010 12:20:47
VBASE019.VDF : 7.10.10.130 132608 Bytes 10.8.2010 12:21:15
VBASE020.VDF : 7.10.10.158 131072 Bytes 12.8.2010 12:21:03
VBASE021.VDF : 7.10.10.190 136704 Bytes 16.8.2010 13:11:53
VBASE022.VDF : 7.10.10.217 118272 Bytes 19.8.2010 13:11:56
VBASE023.VDF : 7.10.10.246 130048 Bytes 23.8.2010 14:02:46
VBASE024.VDF : 7.10.11.11 144896 Bytes 25.8.2010 14:23:42
VBASE025.VDF : 7.10.11.33 135168 Bytes 27.8.2010 14:23:46
VBASE026.VDF : 7.10.11.52 148992 Bytes 31.8.2010 14:43:06
VBASE027.VDF : 7.10.11.75 124928 Bytes 3.9.2010 14:43:09
VBASE028.VDF : 7.10.11.76 2048 Bytes 3.9.2010 14:43:09
VBASE029.VDF : 7.10.11.77 2048 Bytes 3.9.2010 14:43:09
VBASE030.VDF : 7.10.11.78 2048 Bytes 3.9.2010 14:43:09
VBASE031.VDF : 7.10.11.86 54784 Bytes 3.9.2010 14:43:12
Engineversion : 8.2.4.50
AEVDF.DLL : 8.1.2.1 106868 Bytes 2.8.2010 08:57:19
AESCRIPT.DLL : 8.1.3.44 1364346 Bytes 26.8.2010 14:24:35
AESCN.DLL : 8.1.6.1 127347 Bytes 13.5.2010 08:02:50
AESBX.DLL : 8.1.3.1 254324 Bytes 23.4.2010 21:06:04
AERDL.DLL : 8.1.8.2 614772 Bytes 23.7.2010 11:43:42
AEPACK.DLL : 8.2.3.5 471412 Bytes 7.8.2010 12:20:52
AEOFFICE.DLL : 8.1.1.8 201081 Bytes 23.7.2010 11:43:22
AEHEUR.DLL : 8.1.2.21 2883958 Bytes 3.9.2010 14:43:14
AEHELP.DLL : 8.1.13.3 242038 Bytes 26.8.2010 14:24:10
AEGEN.DLL : 8.1.3.20 397684 Bytes 26.8.2010 14:24:09
AEEMU.DLL : 8.1.2.0 393588 Bytes 23.4.2010 21:05:58
AECORE.DLL : 8.1.16.2 192887 Bytes 23.7.2010 11:42:50
AEBB.DLL : 8.1.1.0 53618 Bytes 23.4.2010 21:05:56
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 07:47:56
AVPREF.DLL : 9.0.3.0 44289 Bytes 9.9.2009 14:18:17
AVREP.DLL : 8.0.0.7 159784 Bytes 17.2.2010 20:21:32
AVREG.DLL : 9.0.0.0 36609 Bytes 7.11.2008 14:25:04
AVARKT.DLL : 9.0.0.3 292609 Bytes 27.4.2009 17:17:01
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.1.2009 09:37:04
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.1.2009 14:03:49
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 2.2.2009 07:21:28
NETNT.DLL : 9.0.0.0 11521 Bytes 7.11.2008 14:41:21
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 9.6.2009 19:29:01
RCTEXT.DLL : 9.0.73.0 87297 Bytes 19.11.2009 19:22:37

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: e:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: E:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Sonntag, 5. September 2010 20:42

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '98057' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sistray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DivXUpdate.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RTHDCPL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'osd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'StarWindServiceAE.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SearchAnonymizerHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '31' Prozesse mit '31' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '61' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'E:\'
E:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
E:\Dokumente und Einstellungen\Steffen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\49\7a6b7ff1-232b823e
[0] Archivtyp: ZIP
--> Inicio.class
[FUND] Enthält Erkennungsmuster des Java-Virus JAVA/Dldr.Agent.D
E:\System Volume Information\_restore{47C48611-82FD-4776-BFF1-15184CE6D2B4}\RP555\A0132151.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.anfw
E:\System Volume Information\_restore{47C48611-82FD-4776-BFF1-15184CE6D2B4}\RP556\A0132177.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.angq
E:\System Volume Information\_restore{47C48611-82FD-4776-BFF1-15184CE6D2B4}\RP556\A0132347.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Buterat.UQ
E:\WINDOWS\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!

Beginne mit der Desinfektion:
E:\Dokumente und Einstellungen\Steffen\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\49\7a6b7ff1-232b823e
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cba0366.qua' verschoben!
E:\System Volume Information\_restore{47C48611-82FD-4776-BFF1-15184CE6D2B4}\RP555\A0132151.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.anfw
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4cb50335.qua' verschoben!
E:\System Volume Information\_restore{47C48611-82FD-4776-BFF1-15184CE6D2B4}\RP556\A0132177.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.angq
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4dcc7c56.qua' verschoben!
E:\System Volume Information\_restore{47C48611-82FD-4776-BFF1-15184CE6D2B4}\RP556\A0132347.exe
[FUND] Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Buterat.UQ
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4dc36cfe.qua' verschoben!


Ende des Suchlaufs: Sonntag, 5. September 2010 22:52
Benötigte Zeit: 1:53:00 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

10338 Verzeichnisse wurden überprüft
488073 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
488067 Dateien ohne Befall
3124 Archive wurden durchsucht
2 Warnungen
5 Hinweise
98057 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Installiere oder Deinstalliere während der Bereinigung keine Software ausser Du wurdest dazu aufgefordert.
• Lese Dir die Anleitung zuerst vollständig durch. Sollte etwas unklar sein, frage bevor Du beginnst.
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Backdoor Warnung

Da Dein Computer mit einer sog. Backdoor (Hintertür) infiziert ist, lies Dir diesen Beitrag sehr aufmerksam durch. Eine Backdoor versteckt sich durch ein Rootkit. Backdoors verursachen diverse Schäden in Windows und erlauben dem Angreifer die komplette Kontrolle über das infizierte System zu übernehmen. Sei Dir bewusst, dass der Angreifer neue Schädlinge bei Bedarf "nachladen" kann, dass er Tastatur-Eingaben mitloggen kann, dass er Programme ausführen kann und/oder sehen kann, was auf Deinem Bildschirm passiert. Daher lautet meine dringende Empfehlung, zu formatieren und Windows neu zu installieren. Das Thema wird sehr kontrovers diskutiert, aber viele Experten aus der "Security Comunity" sind sicher, dass ein einmal mit einer Backdoor infiziertes System auch nach einer Bereiniung nicht wieder als vertrauenswürdig anzusehen ist, denn es ist nicht das Gefährliche, was wir sehen, sondern das, was wir nicht sehen.

Eine weitere Gefahr bei dieser Art von Infektion ist der Identitätsklau, denn diese Art von Schädling kann alle Deine Passwörter stehlen, E-Mail-Daten, Bankdaten, Karten-Nummern usw. durch Mitloggen der Tastatur-Eingaben ausspionieren. Mit diesem System auf keinen Fall mehr Online-Banking, Filesharing, Mailing oder Messaging betreiben. Keine Up- und Downloads, außer auf Security-Seiten. Es ist daher eine gute Idee, alle auf diesem System gespeicherten oder benutzten Passwörter von einem garantiert sauberen Rechner aus durch neue Passwörter zu ersetzen.

Bitte trenne den Computer während der Neuinstallation oder Bereinigung vom Internet (Netz und WLAN), denn wenn der Computer am Netz angeschlossen ist, kann der Angreifer das System weiter modifizieren und vorbeugende Maßnahmen treffen, damit eine Bereinigung so manipuliert wird, dass Fixes nicht so ausgeführt werden, wie vorgesehen.

Tiefergehende Informationen zu diesem Thema findest Du bei Gehen Sie sicher ins Internet.

Lasse mich wissen, ob Du den Rechner neu aufsetzt oder ob Du trotz obiger Warnung eine umfangreiche, langwierige Bereinigung versuchen möchtest, deren Ende sein könnte, dass das System trotz Bereinigungsversuch neu aufgesetzt werden muss.

[color=brown]
[b]Da der Computer aktuell als komprimitiert eingestuft wird, unbedingt den Rechner vom Netz trennen, wenn er unbeaufsichtigt ist.
Mit diesem Computer keinesfalls Online-Banking, Filesharing, Mailing oder Messaging betreiben.
Keine Up- und Downloads, außer auf Security-Seiten.
Alle auf diesem System gespeicherten Passwörter von einem garantiert sauberen Rechner aus durch neue ersetzen.

Erstmal danke für deine Antwort.
Das heißt also dieser BackdoorServer ist wirklich gefährlich.
Ich habs befürchtet =(

In diesem falle werd ich mir wohl in den nächsten Tagen eine externe Festplatte vom Kumpel leihen um paar Dateien zu sichern und das System dann komplett neu aufsetzen.

Muss ich beim Dateien sichern auf etwas achten? Könnten Dateien infiziert sein oder ähnliches?
Und nach dem neu aufsetzen sollte ich direkt ALLE Passwörter ändern?

mfg
Hillix

Du darfst alles ausser "ausführbaren Dateien" sichern. Halte die an diese Anleitung beim Neuaufsetzen.