Habe schon seid längerem Probleme mit Trojanern
 

Hallo ich habe seit langem schon probleme mit verschiedenen Trojanern die ich mit AntiVirus nicht beseitigen kann. Ich würde nur sehr ungerne meinen PC Formatieren. Hier der neuste Report:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 28. Mai 2008 18:40

Es wird nach 1295695 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: .....
Plattform: Windows XP
Windowsversion: ......
Boot Modus: Normal gebootet
Benutzername: .....
Computername: ......

Versionsinformationen:
BUILD.DAT : 8.1.00.295 16479 Bytes 09.04.2008 16:22:00
AVSCAN.EXE : 8.1.2.12 311553 Bytes 19.04.2008 10:43:28
AVSCAN.DLL : 8.1.1.0 57601 Bytes 19.04.2008 10:43:28
LUKE.DLL : 8.1.2.9 151809 Bytes 19.04.2008 10:43:28
LUKERES.DLL : 8.1.2.0 12545 Bytes 19.04.2008 10:43:28
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 13:56:43
ANTIVIR1.VDF : 7.0.3.2 5447168 Bytes 07.03.2008 14:58:40
ANTIVIR2.VDF : 7.0.4.53 1848832 Bytes 17.05.2008 10:34:05
ANTIVIR3.VDF : 7.0.4.107 283136 Bytes 28.05.2008 14:59:52
Engineversion : 8.1.0.46
AEVDF.DLL : 8.1.0.5 102772 Bytes 19.04.2008 10:43:29
AESCRIPT.DLL : 8.1.0.33 266618 Bytes 16.05.2008 15:00:58
AESCN.DLL : 8.1.0.18 119156 Bytes 16.05.2008 15:00:56
AERDL.DLL : 8.1.0.20 418165 Bytes 25.04.2008 13:01:46
AEPACK.DLL : 8.1.1.5 364918 Bytes 16.05.2008 15:00:55
AEOFFICE.DLL : 8.1.0.18 192890 Bytes 19.04.2008 10:43:28
AEHEUR.DLL : 8.1.0.29 1253750 Bytes 16.05.2008 15:00:52
AEHELP.DLL : 8.1.0.14 115063 Bytes 19.04.2008 10:43:28
AEGEN.DLL : 8.1.0.21 303477 Bytes 16.05.2008 15:00:44
AEEMU.DLL : 8.1.0.6 430451 Bytes 08.05.2008 14:58:29
AECORE.DLL : 8.1.0.29 168311 Bytes 16.05.2008 15:00:41
AVWINLL.DLL : 1.0.0.7 14593 Bytes 19.04.2008 10:43:28
AVPREF.DLL : 8.0.0.1 25857 Bytes 19.04.2008 10:43:28
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24
AVREG.DLL : 8.0.0.0 30977 Bytes 19.04.2008 10:43:28
AVARKT.DLL : 1.0.0.23 307457 Bytes 19.04.2008 10:43:28
AVEVTLOG.DLL : 8.0.0.11 114945 Bytes 19.04.2008 10:43:28
SQLITE3.DLL : 3.3.17.1 339968 Bytes 19.04.2008 10:43:28
SMTPLIB.DLL : 1.2.0.19 28929 Bytes 19.04.2008 10:43:28
NETNT.DLL : 8.0.0.1 7937 Bytes 19.04.2008 10:43:28
RCIMAGE.DLL : 8.0.0.35 2371841 Bytes 19.04.2008 10:43:22
RCTEXT.DLL : 8.0.32.0 86273 Bytes 19.04.2008 10:43:22

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\...\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Mittwoch, 28. Mai 2008 18:40

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Notifier.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'WLLoginProxy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqste08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sc_watch.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'kernel.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sistray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'InfoCockpit.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msnmsgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ToADiMon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '44' Prozesse mit '44' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '47' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\...\Temporary Internet Files\Content.IE5\MAOV1M0U\!update-4495[1].0000
[FUND] Ist das Trojanische Pferd TR/Dldr.Purity.FK.2
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48ad9acb.qua' verschoben!
C:\System Volume Information\_restore{0C985708-3F20-4139-98DA-E37038DA1D87}\RP382\A0428383.sys
[0] Archivtyp: RSRC
--> Object
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48719d8e.qua' verschoben!
C:\System Volume Information\_restore{0C985708-3F20-4139-98DA-E37038DA1D87}\RP382\A0428393.sys
[0] Archivtyp: RSRC
--> Object
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '490c4dc7.qua' verschoben!
C:\System Volume Information\_restore{0C985708-3F20-4139-98DA-E37038DA1D87}\RP383\A0428433.sys
[0] Archivtyp: RSRC
--> Object
[FUND] Ist das Trojanische Pferd TR/Dropper.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48719d91.qua' verschoben!
C:\WINDOWS\system32\drivers\Jqx42.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\Xcg14.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Mittwoch, 28. Mai 2008 20:10
Benötigte Zeit: 1:30:13 min

Der Suchlauf wurde vollständig durchgeführt.

5432 Verzeichnisse wurden überprüft
135883 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
3 Dateien konnten nicht durchsucht werden
135879 Dateien ohne Befall
835 Archive wurden durchsucht
3 Warnungen
4 Hinweise

Falls ihr sonst noch informationen braucht, werde ich sie schnellstmöglich hier Posten. Bitte alles für "Dumme" erklären da ich mich mit Viren und Trojaner kein bisschen auskenne. Danke schonmal im vorraus für eure Mühen.

Gleich zum Anfang eine Frage: Was willst du mit einer Malware in der Quarantäne? Glaubst du ernstlich, das davon dein krankes System gesünder wird oder sich ein Programm meldet, dem das Zeugs noch in seiner Sammlung fehlt?

Grundsätzlich gilt: Die Neuinstallation eines Systems ist weniger aufwändig als die Suche nach einer Malware in einem kompromittierten System. Eine Neuinstallation mit den meisten verwendeten Programmen dauert in der Regel nicht länger als 3 Stunden. Und wie lange murkst du schon herum?

Selbst wenn wir jetzt versuchen dein System zu reinigen bleibt immer die Frage offen, was die hölzernen Pferde in dein System geschleppt haben. Da eine der Signaturen erst heute bekannt wurde, steht beim reingeschleppten Code ein sehr großes :confused:.

Du schreibst von einer schon früher festgestellten Infektes. Die Ursache ist sehr wahrscheinlich auf die Verwendung von InternetExplorer und OutlookExpress zurück zu führen. Da die Malware auch in der Systemwiederherstellung gefunden wird, kann man davon ausgehen, das der nachgeladene Schadcode die ursprünglichen Dateien gelöscht hat. Du suchst also ein Phantom.

Mache das System platt und installiere es nach dieser Anleitung: http://www.trojaner-board.de/51262-a...sicherung.html Ausführlicher ist es hier beschrieben: Windows XP Pro Installation und vergesse nicht, das das aktuelle Servicepack für WindowsXP die Nummer 3 trägt.

Dieses abendfüllende Video von ChaosSeminar/2005/01 (Un)Sicheres Windows am Heim-PC - Chaos Computer Club Ulm ist dir bekannt?

Okay, danke für deine so schnelle Antwort dann werde ich meinen Freund wohl "schnell" Formatieren müssen.