Trojaner-Board - Plötzlich Virus und Malware auf dem Rechner? Warum und wie bekomme ich das wieder weg

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Plötzlich Virus und Malware auf dem Rechner? Warum und wie bekomme ich das wieder weg (https://www.trojaner-board.de/27751-ploetzlich-virus-malware-rechner-bekomme-weg.html)

Plötzlich Virus und Malware auf dem Rechner? Warum und wie bekomme ich das wieder weg

So, war heute im Internet und nach 2 Minuten surfen auf www.google.de beendet sich der Internet Explorer und sagt es liegt ein Fehler vor. Auch der Explorer geht nicht mehr.
AntiVir meldet mir den „Virus“ TR/Proxy.Lager.AQ.1 und Spybot findet SmitFraud.C. Beides kann ich beseitigen bzw. löschen aber nach einem Systemstart ist zumindest der Virus wieder da.

Kann mir jemand sagen, wie ich jetzt am besten vorgehen soll? Blicke bei den Vielzahl an Test und Logfiles von denen hier gesprochen wird, nicht mehr richtig durch.

Eine wichtige Frage ist noch, wie man diesen Virus bekommen kann? Habe noch einen 2. Rechner im Netzwerk und der hat noch nichts bekommen. Wie kann ich diesen anderen PC schützen???

Vielen Dank für eure Hilfe,

Sascha

Hallo Skelo,
poste doch mal ein HJT logfile vllt ist noch mehr drin

chaosman

So, ich hoffe Ihr könnte mir jetzt besser helfen:

Logfile of HijackThis v1.99.1
Scan saved at 18:42:07, on 22.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Toshiba\Windows Utilities\Hotkey.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\taskdir.exe
C:\WINDOWS\system32\igfxext.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Downloads\HiJackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Toshiba Hotkey Utility] "C:\Programme\Toshiba\Windows Utilities\Hotkey.exe" /lang DE
O4 - HKLM\..\Run: [EPSON Stylus C86 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE /P23 "EPSON Stylus C86 Series" /O6 "USB001" /M "Stylus C86"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\system32\taskdir.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: eBay - {9E958ACA-8CB9-414B-B5C6-2F044D71F7B2} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120313126702
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123583493483
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - h**ps://register3.valueactive.com/458/webolr/OCX/FlashAX.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - h**p://data.flatcast.com/NpFv415.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Hallo,
aus dem Logfile ist ausser den taskdir Einträgen nichts auffälliges zu erkennen.
Mach mal folgendes dann kann man vielleicht erkennen ob noch was weiteres nachgeladen wurde. Poste die vier Logfiles, aber nur die Dateien des letzten Monats abkopieren!

Grüße Wildone

Hoffe man kann was daraus erkennen. Glaube dass gleich die 2. Datei (zlbw.dll) nicht gut ist oder?

Verzeichnis von C:\WINDOWS\system32

22.03.2006 18:26 1.158 wpa.dbl
22.03.2006 17:04 46.592 zlbw.dll
22.03.2006 15:39 51.094 taskdir.exe
22.03.2006 15:39 51.094 parad.raw.exe
22.03.2006 15:39 7.095 voblaizdupla.exe
10.03.2006 01:10 4.799.320 MRT.exe
14.02.2006 09:20 550.120 LegitCheckControl.dll
13.02.2006 19:03 8.632 spmsg.dll
12.02.2006 17:26 0 h323log.txt

Verzeichnis von C:\DOKUME~1\***\LOKALE~1\Temp

22.03.2006 18:42 16.384 ~DF40E6.tmp
22.03.2006 15:57 0 12F331.dmp
22.03.2006 15:57 0 1277A8.dmp
22.03.2006 15:56 0 11F2A7.dmp
22.03.2006 15:47 0 9B75D.dmp
22.03.2006 15:45 0 7AC77.dmp
17.03.2006 20:51 271 wecerr.txt
16.03.2006 21:21 1.980 1C9.tmp
12.03.2006 13:18 1.980 1C5.tmp
11.03.2006 14:59 1.980 1C4.tmp
10.03.2006 23:16 1.980 1EE.tmp
10.03.2006 21:56 1.980 1DF.tmp
10.03.2006 21:54 1.980 1DA.tmp
10.03.2006 21:42 1.980 1D5.tmp
10.03.2006 21:25 1.980 1CD.tmp
10.03.2006 21:23 1.980 1C8.tmp
10.03.2006 21:21 1.980 1C3.tmp
09.03.2006 20:26 1.980 1C0.tmp
09.03.2006 15:15 1.980 1BF.tmp
08.03.2006 21:49 1.980 1BD.tmp
08.03.2006 17:10 1.980 1BB.tmp
07.03.2006 20:40 1.980 1B9.tmp
07.03.2006 18:42 1.980 1B8.tmp
07.03.2006 18:42 1.980 1B6.tmp
06.03.2006 17:51 797.676 IMTE.xml
06.03.2006 17:51 426 IMTD.xml
06.03.2006 17:51 2.036 IMTC.xml
06.03.2006 17:51 797.676 IMTB.xml
06.03.2006 17:51 426 IMTA.xml
06.03.2006 17:51 2.036 IMT9.xml
06.03.2006 02:57 129 C05A8628.TMP
03.03.2006 15:00 3.162.112 ~DF7D9F.tmp
03.03.2006 13:56 1.980 1B5.tmp
02.03.2006 15:58 3.244.032 ~DF6ECA.tmp
02.03.2006 14:30 1.980 1B1.tmp
28.02.2006 16:22 884.736 ~DFE84F.tmp
28.02.2006 16:22 1.980 1B2.tmp
28.02.2006 15:58 10.538 control.xml
28.02.2006 15:43 3.194.880 ~DFBF7D.tmp
28.02.2006 14:48 1.980 1AD.tmp
27.02.2006 15:37 2.834.432 ~DFEA58.tmp
27.02.2006 15:36 1.980 1AE.tmp
27.02.2006 15:31 2.818.048 ~DF6A7D.tmp
27.02.2006 15:28 1.980 1AA.tmp
26.02.2006 16:47 412 MSI12487.LOG
24.02.2006 10:36 2.867.200 ~DFF3A6.tmp
24.02.2006 10:14 1.980 1A6.tmp
23.02.2006 16:29 2.932.736 ~DFB9FA.tmp
23.02.2006 16:26 1.980 1A9.tmp
23.02.2006 16:22 884.736 ~DF348B.tmp
23.02.2006 16:22 1.980 1A5.tmp
21.02.2006 22:50 2.834.432 ~DF638B.tmp
21.02.2006 22:49 1.980 1A2.tmp
20.02.2006 23:02 2.949.120 ~DFE109.tmp
20.02.2006 21:23 1.980 1A1.tmp
19.02.2006 16:56 2.850.816 ~DF53B2.tmp
19.02.2006 16:54 1.980 19E.tmp
18.02.2006 09:19 2.932.736 ~DFD271.tmp
18.02.2006 08:14 1.980 19A.tmp
17.02.2006 21:57 3.194.880 ~DFEFA1.tmp
17.02.2006 20:14 1.980 19D.tmp
17.02.2006 18:44 2.899.968 ~DF5FBA.tmp
17.02.2006 18:38 1.980 199.tmp
17.02.2006 14:15 2.834.432 ~DFD43E.tmp
17.02.2006 14:12 1.980 196.tmp
16.02.2006 23:53 3.375.104 ~DFE371.tmp
16.02.2006 22:31 1.980 195.tmp
16.02.2006 22:30 1.980 194.tmp
16.02.2006 15:14 1.980 192.tmp
14.02.2006 21:05 1.980 191.tmp
13.02.2006 18:14 1.980 18E.tmp
12.02.2006 16:07 1.980 18D.tmp
11.02.2006 22:05 1.980 18A.tmp
10.02.2006 20:31 1.980 189.tmp
10.02.2006 13:29 1.980 186.tmp
09.02.2006 15:06 1.980 185.tmp
09.02.2006 15:02 1.980 184.tmp
09.02.2006 15:00 1.980 183.tmp
09.02.2006 14:42 1.980 17E.tmp
08.02.2006 22:30 1.980 180.tmp
08.02.2006 19:45 1.980 17D.tmp
07.02.2006 22:13 1.980 17A.tmp
07.02.2006 15:16 1.980 179.tmp
06.02.2006 17:50 1.980 176.tmp
05.02.2006 16:33 1.980 175.tmp
04.02.2006 21:39 1.980 172.tmp
03.02.2006 12:18 1.980 171.tmp
02.02.2006 21:35 1.980 16E.tmp
02.02.2006 17:30 1.980 16D.tmp
02.02.2006 15:50 1.980 16A.tmp
01.02.2006 22:45 1.980 169.tmp
01.02.2006 20:40 1.980 166.tmp

Verzeichnis von C:\WINDOWS

22.03.2006 18:33 1.823.772 WindowsUpdate.log
22.03.2006 16:46 0 0.log
22.03.2006 16:45 2.048 bootstat.dat
21.03.2006 16:45 580 WISO.INI
17.03.2006 14:13 542.597 setupapi.log
13.03.2006 20:36 213.092 setupact.log
08.03.2006 21:48 253 tm.ini
08.03.2006 21:43 35 tdf.dii
07.03.2006 17:45 7.553 WGA.log
28.02.2006 15:58 18.365 wmsetup.log
18.02.2006 11:00 923 spupdsvc.log
18.02.2006 10:56 131.110 tsoc.log
18.02.2006 10:56 18.327 ocmsn.log
18.02.2006 10:56 120.309 comsetup.log
18.02.2006 10:56 52.926 iis6.log
18.02.2006 10:56 71.226 ntdtcsetup.log
18.02.2006 10:56 1.374 imsins.log
18.02.2006 10:56 6.836 KB913446.log
18.02.2006 10:56 16.354 msgsocm.log
18.02.2006 10:56 163.401 ocgen.log
18.02.2006 10:56 326.909 FaxSetup.log
18.02.2006 10:55 1.374 imsins.BAK
18.02.2006 10:55 8.009 KB911564.log
18.02.2006 10:55 8.283 KB911565.log
18.02.2006 10:54 11.006 KB911927.log
18.02.2006 10:54 26.644 updspapi.log

Verzeichnis von C:\

22.03.2006 20:03 0 sys.txt
22.03.2006 20:02 8.168 system.txt
22.03.2006 20:00 22.867 systemtemp.txt
22.03.2006 19:54 93.920 system32.txt
22.03.2006 18:31 4.757 hijackthis.log
22.03.2006 16:45 780.140.544 pagefile.sys

Hallo,
überprüfe die Dateien:
C:\Windows\System32\zlbw.dll
C:\Windows\System32\parad.raw.exe
C:\Windows\System32\voblaizdupla.exe

auch bei www.virustotal.com und poste das Ergebnis. Du hast dich um 15:39 angesteckt, eine Ahnung was du da gemacht hast?

Grüße Wildone

Das war der Moment als ich den Laptop (nach der Arbeit) angeschaltet habe und per Internet Explorer auf Google was nachschauen wollte. Habe dann in die Google Suchleiste meine Suchbegriffe eingegeben und während der Eingabe ging der IE nicht mehr und da wars schon passiert.

Überprüfe jetzt die benannten Dateien.

Hallo,
also bei dem Infektionsweg stehe ich vor einem Rätsel.
Wenn wir schon bei genauerer Durchleuchtung sind, überprüfe dein system auch mal noch zusätzlich mit den Tools F-Secure Blacklight (Log erscheint automatisch nach dem scan im selben Pfad fsbl**.txt) und Rootkitrevealer (während dem Scan nichts anderes machen!, Log unter File>>Save).

Grüße Wildone

Poste nur das "Schlechte":

zlbw.dll
Fortinet 2.71.0.0 03.22.2006 suspicious

parad.raw.exe
Kaspersky 4.0.2.24 03.22.2006 Trojan-Proxy.Win32.Lager.aq
Panda 9.0.0.4 03.21.2006 Suspicious file

voblaizdupla.exe
DrWeb 4.33 03.22.2006 Trojan.DownLoader.6811
Kaspersky 4.0.2.24 03.22.2006 Trojan-Downloader.Win32.Small.ciw
Panda 9.0.0.4 03.21.2006 Suspicious file
UNA 1.83 03.22.2006 TrojanDownloader.Win32.Small
VBA32 3.10.5 03.22.2006 Trojan.DownLoader.6811

Hört sich überhaupt nicht gut an :-(
Es beunruhigt mich sehr, das mein AntiVir keine Datei von diesen 3 als Virus erkennt. So kann ich mich nicht dagegen schützen. Kaspersky ist der einzige Scanner, der beide zu erkennen scheint.

Wie soll ich jetzt weiter vorgehen?

Hallo,
ist auch überhaupt nicht gut, ich habe ja schon in dem anderen thread gepostet das du wahrscheinlich nicht an einem Neuaufsetzen vorbei kommen wirst. Und das so neue Viren nicht alle AVs erkennen ist ja klar. Ansonsten noch mit den Rootkitscannern weiter machen.

Grüße Wildone

Mache jetzt noch die beiden anderen Tests.

Was mir noch große Sorgen macht, ist mein 2. PC der ja scheinbar noch "sauber" ist. Bin mir aber nicht 100% sicher ob da Windows wirklich total aktuell ist (könnte eventuell schon 6-7 Tage alt sein) und ich kann ja momentan keine Updates online machen.
Möchte irgendwie verhindern, dass der auch noch verseucht wird, wobei ich ja nicht weis warum es meinen Laptop erwischt hat.

BlackLight Beta: keine Funde

03/22/06 21:20:47 [Info]: BlackLight Engine 1.0.33 initialized
03/22/06 21:20:47 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/22/06 21:20:47 [Note]: 7019 4
03/22/06 21:20:47 [Note]: 7005 0
03/22/06 21:20:55 [Note]: 7006 0
03/22/06 21:20:55 [Note]: 7011 488
03/22/06 21:20:55 [Note]: FSRAW library version 1.7.1015
03/22/06 21:21:54 [Note]: 7007 0

Zitat:

Zitat von Skelo

ich könnt mich totlachen...genau in diesem augenblick, sprich als ich googlen wollte hat sich der IE aufgehängt und die kacke war am dampfen...das is doch hexerei

mach gerade auch die gerade erwähnten tests:

datFind.bat:

Verzeichnis von C:\WINDOWS\system32

22.03.2006 18:32 2.206 wpa.dbl
22.03.2006 14:04 46.592 zlbw.dll
22.03.2006 14:01 51.094 parad.raw.exe
22.03.2006 14:01 51.094 taskdir.exe
22.03.2006 14:01 4 winsub.xml
22.03.2006 14:01 61 svcp.csv
22.03.2006 14:01 7.095 voblaizdupla.exe
18.03.2006 19:00 277.768 FNTCACHE.DAT
10.03.2006 01:10 4.799.320 MRT.exe
14.02.2006 09:20 550.120 LegitCheckControl.dll
13.02.2006 19:03 8.632 spmsg.dll
01.02.2006 19:23 333 ImgCache.pvi
18.01.2006 13:05 57.344 avsda.dll
04.01.2006 04:35 68.096 webclnt.dll
03.01.2006 17:19 12.499 Seagate.bin

weiteres folgt...

Hallo,
bei dir sind es die um 14.01 erstellten Dateien:
22.03.2006 14:04 46.592 zlbw.dll
22.03.2006 14:01 51.094 parad.raw.exe
22.03.2006 14:01 51.094 taskdir.exe
22.03.2006 14:01 4 winsub.xml
22.03.2006 14:01 61 svcp.csv
22.03.2006 14:01 7.095 voblaizdupla.exe

Es hat auch niemand von euch ein vermeintliches Antispywareprogramm installiert, oder? Videocodec auch nicht? Nur von google kann es eigentlich nicht kommen. Könnt ihr mal schauen ob in der Datei C:\WINDOWS\system32\drivers\etc\Hosts (mit dem Editor öffnen) irgendetwas von google drin steht)?

Grüße Wildone

Du kannst ja mal Ewido mal über dein System laufen lassen.

Eine Onlinescan findest du hier: www.ewido.net , Links findest du den scan Button. Oder du kannst die Free Version von EWIDO auch nutzen.

Oder las mal a² über dein System laufen: http://www.emsisoft.de/de/software/free/ ist die Free version.

Oder auch ne Trial Version von TrojanHunter über dein System laufen lassen, das bekommst du hier: http://www.trojanhunter.com/ eine 30 Tage Version von Trojanhunter.

Lade dier die aufgeführten Progarmme mal auf dein System, Installiere Sie, setzt dich damit ausseinander, WICHTIG: alle Programme nach dem Instalieren UPDATEN!

und packe alle Scanreports hier in diesen Tread.

THN