Trojaner-Board - Unlöschbarer Virus(Trojaner) + langsame Browser

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Unlöschbarer Virus(Trojaner) + langsame Browser (https://www.trojaner-board.de/73703-unloeschbarer-virus-trojaner-langsame-browser.html)

Unlöschbarer Virus(Trojaner) + langsame Browser

Hallo Leute , ich bin froh dass ich nach 2 Stunden (anmelden + email bestätigen) endlich diesen Text verfassen kann. Und zwar ging alles vor 2 Tagen los .
Mein Kaspersky spielte verrückt . Mir wurde immer ein "trojanic.generic" angezeigt . Kaspersky teilte mir dann immer mit das der Trojaner nach dem Neustart entfernt sei . Dem war aber nicht so. Da Kaspersky danach andauernd den Pc neustartete um den Trojaner zu entfernen , habe ich GDATA Total Care 2010 installiert . Dieses konnte zwar die Viren + Trojaner unter Quarantäne stellen aber nicht desinfizieren. Zudem ist mein Internet sehr sehr langsam . Deshalb wäre ich sehr froh , schnelle rückmeldungen zu empfangen .
Hier mein HJjack File :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:34:36, on 01.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA\TotalCare\AVK\AVKService.exe
C:\WINDOWS\system\svchost.exe
C:\Programme\G DATA\TotalCare\Firewall\GDFwSvc.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\RichiStudios\Shutdown\service.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\Gemeinsame Dateien\G DATA\GDScan\GDScan.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\G DATA\TotalCare\Firewall\GDFirewallTray.exe
C:\Programme\G DATA\TotalCare\AVKTray\AVKTray.exe
C:\Programme\Xfire\Xfire.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Steam\steam.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\TuneUp Utilities 2009\Integrator.exe
C:\Programme\G DATA\TotalCare\GUI\GDSC.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Timo\Desktop\Downloads\syscl3an.exe
C:\WINDOWS\system32\cmd.exe
C:\DOKUME~1\****\LOKALE~1\Temp\7zS16.tmp\syscl3an\syscl3an.com
C:\DOKUME~1\****\LOKALE~1\Temp\7zS16.tmp\syscl3an\syscl3an.exe
C:\DOKUME~1\****\LOKALE~1\Temp\7zS16.tmp\syscl3an\VSCANTM.BIN
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\G DATA\TotalCare\AVK\AVKWCtl.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O3 - Toolbar: G Data WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA\TotalCare\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [reader_s] C:\WINDOWS\System32\reader_s.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA\TotalCare\Firewall\GDFirewallTray.exe
O4 - HKLM\..\Run: [G DATA AntiVirus Trayapplication] C:\Programme\G DATA\TotalCare\AVKTray\AVKTray.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] ?????????????????????????=
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [reader_s] C:\Dokumente und Einstellungen\****\reader_s.exe
O4 - HKCU\..\Run: [nzdflkioezncfiunfindiuchiuenfcdc] C:\DOKUME~1\****\LOKALE~1\Temp\mwbf0.exe
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - .DEFAULT Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe (User 'Default user')
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.21.0\gears.dll
O9 - Extra 'Tools' menuitem: &Gears-Einstellungen - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Programme\Google\Google Gears\Internet Explorer\0.5.21.0\gears.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: gsf87hfunf98398jd - {C6C7B2A1-00F3-42BD-F434-00AABA2C8953} - (no file)
O23 - Service: G Data AntiVirus Proxy (avkproxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G Data Scheduler (avkservice) - G Data Software AG - C:\Programme\G DATA\TotalCare\AVK\AVKService.exe
O23 - Service: G Data Dateisystem Wächter (avkwctl) - G Data Software AG - C:\Programme\G DATA\TotalCare\AVK\AVKWCtl.exe
O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - C:\WINDOWS\
O23 - Service: Darkness - Unknown owner - C:\WINDOWS\system\svchost.exe
O23 - Service: G Data Backup Service (g data backup service) - G Data Software AG - C:\Programme\G DATA\TotalCare\AVKBackup\AVKBackupService.exe
O23 - Service: G Data Tuner Service (g data tuner service) - G Data Software AG - C:\Programme\G DATA\TotalCare\AVKTuner\AVKTunerService.exe
O23 - Service: G Data Personal Firewall (gdfwsvc) - G Data Software AG - C:\Programme\G DATA\TotalCare\Firewall\GDFwSvc.exe
O23 - Service: G Data Scanner (gdscan) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\GDScan\GDScan.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Update Service (gupdate1c9e1423f96013a) (gupdate1c9e1423f96013a) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: RichiStudios Shutdown (RSShutdown) - RichiStudios - C:\Programme\RichiStudios\Shutdown\service.exe
O23 - Service: TuneUp Drive Defrag-Dienst (tuneup.defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (tuneup.programstatisticssvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: Automatische Updates (wuauserv) - Unknown owner - C:\WINDOWS\

--
End of file - 6182 bytes

Komischerweise sind diese beiden Dateien von GDATA unter Quarantäne gestellt worden :

O4 - HKCU\..\Run: [reader_s] C:\Dokumente und Einstellungen\****\reader_s.exe
O4 - HKCU\..\Run: [nzdflkioezncfiunfindiuchiuenfcdc] C:\DOKUME~1\****\LOKALE~1\Temp\mwbf0.exe

Und meine unter Qurantäne gestellten Viren :

http://www.abload.de/img/viren8uh5.jpg

Da ich mich mit Hjjack nicht auskenne , was muss ich machen um diese Dateien zu löschen ?
Denn bei GDATA konnte ich sie nicht desinfizieren.

MfG
Tire1904

Hallo,

lade mal diese Datei:

Code:

C:\WINDOWS\System32\reader_s.exe

mal bei uns, gemäß dieser Anleitung: http://www.trojaner-board.de/54791-a...ner-board.html bei uns hoch.

ja , ich habe die Datei jetzt geuploaded.

Hallo,

und lade bitte diese Datei

Zitat:

C:\WINDOWS\system\svchost.exe

noch auf den Upload Channel: http://www.trojaner-board.de/54791-a...ner-board.html

lasse folgende Programme laufen:
1.) http://www.trojaner-board.de/51187-a...i-malware.html wenn Fullscann fertig, Log posten.
2.) http://www.trojaner-board.de/51871-a...tispyware.html wenn Fullscann fertig, Log posten.

jo ist oben

E:// hab die Logs vergessen , sorry

1 Log :

Malwarebytes' Anti-Malware 1.37
Datenbank Version: 2207
Windows 5.1.2600 Service Pack 3

01.06.2009 18:07:05
mbam-log-2009-06-01 (18-07-00).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 142289
Laufzeit: 13 minute(s), 4 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 5
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9

Infizierte Speicherprozesse:
C:\WINDOWS\system\svchost.exe (Backdoor.Bot) -> No action taken.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c6c7b2a1-00f3-42bd-f434-00aaba2c8953} (Trojan.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\darkness (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\darkness (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\darkness (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\AGprotect (Malware.Trace) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler\{c6c7b2a1-00f3-42bd-f434-00aaba2c8953} (Trojan.BHO) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\mkqgbuns.exe (Trojan.Downloader) -> No action taken.
c:\dokumente und einstellungen\****\lokale einstellungen\Temp\zjhufhdfe.exe (Trojan.WinWebSec) -> No action taken.
c:\WINDOWS\system32\reader_s.exe (Trojan.Downloader) -> No action taken.
C:\WINDOWS\system\svchost.exe (Backdoor.Bot) -> No action taken.
c:\dokumente und einstellungen\*****\lokale einstellungen\Temp\BN10.tmp (Trojan.Agent) -> No action taken.
c:\dokumente und einstellungen\****lokale einstellungen\Temp\BN12.tmp (Trojan.Agent) -> No action taken.
c:\dokumente und einstellungen\****\lokale einstellungen\Temp\BN14.tmp (Trojan.Agent) -> No action taken.
c:\dokumente und einstellungen\****\lokale einstellungen\Temp\BN25.tmp (Trojan.Agent) -> No action taken.
c:\dokumente und einstellungen\****\lokale einstellungen\Temp\BNEC.tmp (Trojan.Agent) -> No action taken.

2 Log :

Der zweite Log hat nichts gefunden

Steht in der Anleitung beschrieben, wie man sie wieder bekommt. :)

Die Logs sind geposted !

No Action Taken?
Na schnell weg damit bitte.
Gehe unten auf Ausgewähltes entfernen.

Ja ich habe sie sowieso sofort gelöscht , war ja nur der log der erstellt wurde ;).

Ist mein Computer jetzt Virenfrei ? Die Browser sind auch nicht mehr so lahm wie früher , doch habe ich manchmal das Problem , das mein Desktop einfriert.

Systemdetails mit RSIT prüfen

Lade Random's System Information Tool (RSIT) von random/random herunter,
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Da die Logs zu lang waren, habe ich sie zu einem rar archiv hinzugefügt und auf rapidshare gehostet . Download Logs

Erstelle ein Filelisting.

Lade die Datei listing0.bat auf deinen Desktop
Doppelklicke auf listing0.bat
Am Ende befindet sich eine Datei listing.txt auf dem Desktop. Die bei einem Filehoster (z.B. Materialordner.de) hochladen und hier den Link posten.

http://www.materialordner.de/?tmpid=659a9e8fc5c00ad7dfc2420664d60c8d

Lade das Log nochmal hoch, der Link ist inaktiv.