Trojaner-Board - AntiVir findet täglich neue Viren/Trojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - AntiVir findet täglich neue Viren/Trojaner (https://www.trojaner-board.de/64754-antivir-findet-taeglich-neue-viren-trojaner.html)

AntiVir findet täglich neue Viren/Trojaner

Hallo,

hab mit meinem Problem n bisschen bei Google geschnüffelt und bin auf das Board hier gestoßen. Ich bin sicher, ihr könnt mir helfen :rolleyes:

Ich arbeite mit XP und hab nen DSL-Anschluss der Telekom.

Vor einien Wochen bemerkte ich, dass ich beim Googlen nicht mehr auf die gewünschten Seiten gelang sondern auf irgendwelche anderen Seiten (ebay usw.) umgeleitet wurde. Auch hatte mein Rechner deutlich an Geschwindigkeit verloren. Beim Starten des Rechners erhielt ich irgendwann auch eine Fehlermeldung "...exe hat ein Problem festgestellt". Der Aufruf des Task-Managers scheiterte da angeblich "vom Administrator deaktiviert"... Ich konnte ihn jedoch wieder aktivieren.Später kam dann auch noch eine Warnmeldung dass mein Antivirusprogramm (Avast) nicht mehr auf dem neusten Stand ist. Der Versuch der Aktualisierung scheiterte, auch war es mir nicht möglich, die Avast-Seite im Internet aufzurufen. Ich installierte darufhin AntiVir und schmiss das Avast runter. Beim ersten Scan fand AntiVir 17 verschieden Viren und Trojaner, überwiegend im Ordner System32. Die Fehlermeldung ist seit dem nicht wieder aufgetaucht, die o.g. Probleme beim Googlen und die Geschwindigkeit blieben jedoch. Jetzt findet Antivir fast täglich 1-3 Viren oder Trojaner im Ordner System32.

Ich denke ich hab mich infiziert, oder ? Wahrscheinlich durch Limewire... :pfui:

Ist da noch was zu retten ? Was kann ich tun ?

Viele Grüße

Hallo und :hallo:

Acker diese Punkte für weitere Analysen ab:

1.) Poste ein (neues) Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten. Vor dem Ausführen von Malwarebytes den Wächter Deines Virenscanners abschalten!!

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

7.) Mach auch ein Filelisting mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Danke für die schnelle Antwort.

Leider lässt mich mein Rechner nicht auf alle deiner Links zugreifen. Es fängt schon bei der umbenannten hijackthis.exe an. Auch auf das MBR-Tool, Blacklight und ComboFix kann ich nicht zugreifen. Mein Firefox meldet mir immer den Fehler:Verbindung fehlgeschlagen. So wars auch wenn ich auf die Avast-Seite wollte. Wat nu?

So, das mit dem hijackthis hab ich hinbekommen. Habs mir bei pc-welt runtergeladen. Auf die Seite komme ich rauf. Jetzt versuch ich mal das Logfile zu Posten.

Code:

 Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:56:17, on 19.11.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Programme\QuickTime\qttask.exe

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

C:\Programme\Java\jre1.6.0_06\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe

C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE

C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe

C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\Java\jre1.6.0_06\bin\jucheck.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\HiJackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {1C1DD717-53B2-485E-A17B-C9977C205E10} - C:\WINDOWS\system32\iifecdb.dll (file missing)

O2 - BHO: (no name) - {6F0D4E0B-3063-4444-8EE7-DBFCBFA10293} - C:\WINDOWS\system32\pmkjj.dll (file missing)

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll

O2 - BHO: (no name) - {B709A88D-562F-4725-9FB9-DA563EAF3A2C} - C:\Programme\MSN Gaming Zone\qurobuC:\WINDOWS\system32\e1\caws83122.exe.dll (file missing)

O2 - BHO: (no name) - {E15CB747-FEAE-43A2-B6EB-EAAEB8B74971} - C:\WINDOWS\system32\awvvv.dll (file missing)

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

O4 - HKLM\..\Run: [NI.UGA6P_0001_N122M2210] "C:\DOKUME~1\Michael\LOKALE~1\Temp\wintavsnet.exe"

O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll

O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll

O20 - Winlogon Notify: iifecdb - iifecdb.dll (file missing)

O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
 

--

End of file - 5705 bytes

Hallo,

starte den Editor und kopiere folgenden Inhalt. Danach abspeichern und die Endung der erstellten Datei von xyz.txt in xyz. bat um!
Nun ein Doppelklick darauf und es werden Ergebnisse geliefert, diese Inhalte poste...
(Quelle > filelist.bat)

Code:

@echo off

if "%temp%"=="" set temp=%windir%\..

set lfile=%temp%\filelist.txt

if exist %lfile% del %lfile%
 

ver | find /i "Windows XP" > nul

if not errorlevel 1 goto newwin

ver | find /i "Windows 2000" > nul

if not errorlevel 1 goto newwin

ver | find /i "Windows 2003" > nul

if not errorlevel 1 goto newwin

ver | find /i "Windows NT" > nul

if not errorlevel 1 goto newwin

ver | find /i "Windows ME" > nul

if not errorlevel 1 goto oldwin

ver | find /i "Windows Millennium" > nul

if not errorlevel 1 goto oldwin

ver | find /i "Windows 98" > nul

if not errorlevel 1 goto oldwin
 

echo not supported windows version >> %lfile%

echo ---------------------------------------- >> %lfile%

ver >> %lfile%

goto finish
 

:oldwin

cd %windir%\..

echo ----- Root ----------------------------- >> %lfile%

dir /a:-d /o:-d >> %lfile%

echo. >> %lfile%

echo ----- System --------------------------- >> %lfile%

dir %windir%\system /a:-d /o:-d >> %lfile%

goto common
 

:newwin

%systemdrive%

cd \

echo ----- Root ----------------------------- >> %lfile%

dir /a:-d /o:-d >> %lfile%

echo. >> %lfile%

echo ----- System32 ------------------------- >> %lfile%

dir %windir%\system32 /a:-d /o:-d >> %lfile%
 

echo. >> %lfile%

if exist %windir%\Prefetch\nul goto :prefdo

echo ----- no Prefetch dir ------------------ >> %lfile%

goto prefskip

:prefdo

echo ----- Prefetch ------------------------- >> %lfile%

dir %windir%\Prefetch /a:-d /o:-d >> %lfile%

:prefskip
 

:common

echo. >> %lfile%

echo ----- Windows -------------------------- >> %lfile%

dir %windir% /a:-d /o:-d >> %lfile%
 

echo. >> %lfile%

if exist %windir%\tasks\nul goto :taskdo

echo ----- no Tasks dir --------------------- >> %lfile%

goto taskskip

:taskdo

echo ----- Tasks ---------------------------- >> %lfile%

dir %windir%\tasks /a:-d /o:-d >> %lfile%

:taskskip
 

echo. >> %lfile%

if exist %windir%\temp\nul goto :wtmpdo

echo ----- no Wintemp dir ------------------- >> %lfile%

goto wtmpskip

:wtmpdo

echo ----- Wintemp -------------------------- >> %lfile%

dir %windir%\temp /a:-d /o:-d >> %lfile%

:wtmpskip
 

if "%temp%"=="" goto notmp1

echo. >> %lfile%

echo ----- Temp ----------------------------- >> %lfile%

dir %temp% /a:-d /o:-d >> %lfile%

if "%temp%"=="%tmp%" goto notmp2
 

:notmp1

if "%tmp%"=="" goto notmp2

echo. >> %lfile%

echo ----- Tmp ------------------------------ >> %lfile%

dir %temp% /a:-d /o:-d >> %lfile%
 

:notmp2

:finish

start notepad %lfile%

Hallo,

meinst du, den Editor mit dem Logfile das ich oben gepostet habe öffnen, mit deinem Text überscheiben und dann speichern ? Wo kann ich denn dann die Endung txt in bat ändern ? Bin leider nur (wie heißt es so schön) DAU :)

oh, ich glaube ich habs geschafft :-)

Logfile war zu groß. Hier der Link:

File-Upload.net - filelist.txt

Ja, da sieht man schon einige böse Dateien :rolleyes:
Bevor wir die jetzt alle manuell löschen: Klappt der Download von Combofix? Wenn nicht, lad Combofix bitte von hier. Ansonsten Anleitung oben.

>Ja, da sieht man schon einige böse Dateien
:eek:
...am 05.10.08 fand die Infektion laut Zeitstempel statt!
folgend die Übersicht, beispiel /System32...

Code:

05.10.2008  22:14             4.096 winlogonpc.exe

05.10.2008  22:14             4.096 hoproxy.dll

05.10.2008  22:14             4.096 VBIEWER.OCX

05.10.2008  22:14             4.096 mwin32.exe

05.10.2008  22:14             4.096 sncntr.exe

05.10.2008  22:14             4.096 hxiwlgpm.exe

05.10.2008  22:14             4.096 hxiwlgpm.dat

05.10.2008  22:14             4.096 taack.dat

05.10.2008  22:14             4.096 taack.exe

05.10.2008  22:14             4.096 ssurf022.dll

05.10.2008  22:14             4.096 msnbho.dll

05.10.2008  22:14             4.096 psoft1.exe

05.10.2008  22:14             4.096 psof1.exe

05.10.2008  22:14             4.096 bsva-egihsg52.exe

05.10.2008  22:14             4.096 medup012.dll

05.10.2008  22:14             4.096 ps1.exe

05.10.2008  22:14             4.096 medup020.dll

05.10.2008  22:14             4.096 mtr2.exe

05.10.2008  22:14             4.096 netode.exe

05.10.2008  22:14             4.096 msgp.exe

05.10.2008  22:14             4.096 h@tkeysh@@k.dll

05.10.2008  22:14             4.096 temp#01.exe

05.10.2008  22:14             4.096 ssvchost.com

05.10.2008  22:14             4.096 ssvchost.exe

05.10.2008  22:14             4.096 dpcproxy.exe

05.10.2008  22:14             4.096 regm64.dll

05.10.2008  22:14             4.096 regc64.dll

05.10.2008  22:14             4.096 msvchost.exe

05.10.2008  22:14             4.096 thun.dll

05.10.2008  22:14             4.096 Rundl1.exe

05.10.2008  22:14             4.096 thun32.dll

05.10.2008  22:14             4.096 newsd32.exe

05.10.2008  22:14             4.096 emesx.dll

05.10.2008  22:14             4.096 vcatchpi.dll

05.10.2008  22:14             4.096 akttzn.exe

05.10.2008  22:14             4.096 anticipator.dll

05.10.2008  22:14             4.096 winsystem.exe

05.10.2008  22:14             4.096 bdn.com

05.10.2008  22:14             4.096 mssecu.exe

05.10.2008  22:14             4.096 WINWGPX.EXE

05.10.2008  22:14             4.096 sysreq.exe

05.10.2008  22:14             4.096 awtoolb.dll

05.10.2008  22:14             4.096 vbsys2.dll

Zitat:

Zitat von gufo (Beitrag 393435)

...am 05.10.08 fand die Infektion laut Zeitstempel statt!
folgend die Übersicht, beispiel /System32...

Genau diese Dateien meinte ich. Sieht aber fast so aus, als wär es ein und die selbe Datei nur in verschiedenen namen...naja. :snyper:

puh, ich glaub ich habs geschafft. ComboFix ist durchgelaufen. Das Programm hat meinen Rechner 2 mal neu gestartet, da haute natürlich AntiVir wieder dazwischen, aber ich glaub es hat trotzdem funktioniert. Hier nun das Logfile:

Code:

 ComboFix 08-11-19.08 - Michael 2008-11-20 23:28:40.1 - NTFSx86

Microsoft Windows XP Professional  5.1.2600.2.1252.1.1031.18.222 [GMT 1:00]

 * Resident AV is active
 
 
 Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!

.
 

((((((((((((((((((((((((((((((((((((   Weitere Löschungen   ))))))))))))))))))))))))))))))))))))))))))))))))

.
 

c:\programme\akl

c:\programme\akl\akl.dll

c:\programme\akl\akl.exe

c:\programme\akl\uninstall.exe

c:\programme\akl\unsetup.exe

c:\programme\Inet Delivery

c:\programme\Inet Delivery\inetdl.exe

c:\programme\Inet Delivery\intdel.exe

c:\temp\1cb

c:\temp\1cb\syscheck.log

c:\windows\a.bat

c:\windows\base64.tmp

c:\windows\bdn.com

c:\windows\Downloaded Program Files\UGA6PU_0001_N120M2910NetInstaller.exe

c:\windows\FVProtect.exe

c:\windows\iTunesMusic.exe

c:\windows\mslagent

c:\windows\mslagent\2_mslagent.dll

c:\windows\mslagent\mslagent.exe

c:\windows\mslagent\uninstall.exe

c:\windows\mssecu.exe

c:\windows\system32\akttzn.exe

c:\windows\system32\anticipator.dll

c:\windows\system32\awtoolb.dll

c:\windows\system32\b3

c:\windows\system32\bdn.com

c:\windows\system32\bsva-egihsg52.exe

c:\windows\system32\dpcproxy.exe

c:\windows\system32\drivers\svchost.exe

c:\windows\system32\drivers\TDSSserv.sys

c:\windows\system32\e1

c:\windows\system32\emesx.dll

c:\windows\system32\h@tkeysh@@k.dll

c:\windows\system32\hoproxy.dll

c:\windows\system32\hxiwlgpm.dat

c:\windows\system32\hxiwlgpm.exe

c:\windows\system32\jjkmp.ini

c:\windows\system32\jjkmp.ini2

c:\windows\system32\mdm.exe

c:\windows\system32\medup012.dll

c:\windows\system32\medup020.dll

c:\windows\system32\msgp.exe

c:\windows\system32\MSINET.oca

c:\windows\system32\msnbho.dll

c:\windows\system32\mssecu.exe

c:\windows\system32\msvchost.exe

c:\windows\system32\mtr2.exe

c:\windows\system32\mwin32.exe

c:\windows\system32\netode.exe

c:\windows\system32\newsd32.exe

c:\windows\system32\pac.txt

c:\windows\system32\ps1.exe

c:\windows\system32\psof1.exe

c:\windows\system32\psoft1.exe

c:\windows\system32\regc64.dll

c:\windows\system32\regm64.dll

c:\windows\system32\Rundl1.exe

c:\windows\system32\smp

c:\windows\system32\smp\msrc.exe

c:\windows\system32\sncntr.exe

c:\windows\system32\ssurf022.dll

c:\windows\system32\ssvchost.com

c:\windows\system32\ssvchost.exe

c:\windows\system32\sysreq.exe

c:\windows\system32\taack.dat

c:\windows\system32\taack.exe

c:\windows\system32\TDSSerrors.log

c:\windows\system32\tdssinit.dll

c:\windows\system32\tdssservers.dat

c:\windows\system32\temp#01.exe

c:\windows\system32\thun.dll

c:\windows\system32\thun32.dll

c:\windows\system32\u4

c:\windows\system32\VBIEWER.OCX

c:\windows\system32\vbsys2.dll

c:\windows\system32\vcatchpi.dll

c:\windows\system32\vvvwa.ini

c:\windows\system32\winlogonpc.exe

c:\windows\system32\winsystem.exe

c:\windows\system32\WINWGPX.EXE

c:\windows\userconfig9x.dll

c:\windows\winsystem.exe

c:\windows\zip1.tmp

c:\windows\zip2.tmp

c:\windows\zip3.tmp

c:\windows\zipped.tmp
 

.

(((((((((((((((((((((((((((((((((((((((   Treiber/Dienste   )))))))))))))))))))))))))))))))))))))))))))))))))

.
 

-------\Service_TDSSSERV

-------\Legacy_TDSSSERV
 
 

(((((((((((((((((((((((   Dateien erstellt von 2008-10-20 bis 2008-11-20  ))))))))))))))))))))))))))))))

.
 

2008-11-20 23:35 . 2008-11-20 23:35        54,156        --ah-----        c:\windows\QTFont.qfn

2008-11-20 23:35 . 2008-11-20 23:35        1,409        --a------        c:\windows\QTFont.for

2008-11-20 23:05 . 2008-11-20 23:05        <DIR>        d--------        c:\programme\CCleaner

2008-11-19 13:51 . 2008-11-19 13:52        <DIR>        d--------        c:\programme\Luka

2008-11-04 21:42 . 2008-11-04 21:42        <DIR>        d--------        c:\programme\Avira

2008-11-04 21:42 . 2008-11-04 21:42        <DIR>        d--------        c:\dokumente und einstellungen\All Users\Anwendungsdaten\Avira
 

.

((((((((((((((((((((((((((((((((((((   Find3M Bericht   ))))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-11-15 16:10        ---------        d-----w        c:\programme\Pingus

2008-11-13 19:47        ---------        d-----w        c:\dokumente und einstellungen\Michael\Anwendungsdaten\LimeWire

2008-10-08 18:59        ---------        d-----w        c:\dokumente und einstellungen\Michael\Anwendungsdaten\Ahead

2008-10-08 12:13        ---------        d-----w        c:\programme\uqbjlwd

2008-10-05 21:14        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\bgtgfkvi

2008-10-05 21:14        ---------        d-----w        c:\dokumente und einstellungen\All Users\Anwendungsdaten\anupsnin

1999-03-11 17:22        99,840        ----a-w        c:\programme\Gemeinsame Dateien\IRAABOUT.DLL

1998-12-09 02:53        70,144        ----a-w        c:\programme\Gemeinsame Dateien\IRAMDMTR.DLL

1998-12-09 02:53        48,640        ----a-w        c:\programme\Gemeinsame Dateien\IRALPTTR.DLL

1998-12-09 02:53        31,744        ----a-w        c:\programme\Gemeinsame Dateien\IRAWEBTR.DLL

1998-12-09 02:53        186,368        ----a-w        c:\programme\Gemeinsame Dateien\IRAREG.DLL

1998-12-09 02:53        17,920        ----a-w        c:\programme\Gemeinsame Dateien\IRASRIAL.DLL

.
 

((((((((((((((((((((((((((((   Autostartpunkte der Registrierung   ))))))))))))))))))))))))))))))))))))))))

.

.

*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.

REGEDIT4
 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [2006-03-01 90112]

"H/PC Connection Agent"="c:\programme\Microsoft ActiveSync\WCESCOMM.EXE" [2004-02-09 401491]
 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-07-12 7626752]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-07-12 86016]

"NeroFilterCheck"="c:\programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]

"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2007-02-03 77824]

"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-02-10 185784]

"Sony Ericsson PC Suite"="c:\programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2006-11-24 487424]

"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_06\bin\jusched.exe" [2008-03-25 144784]

"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]

"nwiz"="nwiz.exe" [2006-07-12 c:\windows\system32\nwiz.exe]

"SkyTel"="SkyTel.EXE" [2006-05-16 c:\windows\SkyTel.exe]

"RTHDCPL"="RTHDCPL.EXE" [2006-08-01 c:\windows\RTHDCPL.exe]
 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]

"Picasa Media Detector"="c:\programme\Picasa2\PicasaMediaDetector.exe" [2007-09-28 443968]
 

c:\dokumente und einstellungen\All Users\Startmen\Programme\Autostart\

Adobe Reader - Schnellstart.lnk - c:\programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696]

Microsoft Office.lnk - c:\programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588]

Symantec Fax Starter Edition-Anschluss.lnk - c:\programme\Microsoft Office\Office\1031\OLFSNT40.EXE [1999-03-11 46080]
 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"MSACM.CEGSM"= mobilev.acm
 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)
 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programme\\Microsoft ActiveSync\\wcescomm.exe"=

"c:\\Programme\\Microsoft ActiveSync\\WCESMgr.exe"=

"c:\\Programme\\LimeWire\\LimeWire.exe"=
 

S3 SE2Ebus;Sony Ericsson Device 046 Driver driver (WDM);c:\windows\system32\DRIVERS\SE2Ebus.sys [2008-01-17 61600]

S3 SE2Emdfl;Sony Ericsson Device 046 USB WMC Modem Filter;c:\windows\system32\DRIVERS\SE2Emdfl.sys [2008-01-17 9360]

S3 SE2Emdm;Sony Ericsson Device 046 USB WMC Modem Driver;c:\windows\system32\DRIVERS\SE2Emdm.sys [2008-01-17 97184]

S3 SE2Emgmt;Sony Ericsson Device 046 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\SE2Emgmt.sys [2008-01-17 88688]

S3 se2End5;Sony Ericsson Device 046 USB Ethernet Emulation SEMC46 (NDIS);c:\windows\system32\DRIVERS\se2End5.sys [2008-01-17 18704]

S3 SE2Eobex;Sony Ericsson Device 046 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\SE2Eobex.sys [2008-01-17 86560]

S3 se2Eunic;Sony Ericsson Device 046 USB Ethernet Emulation SEMC46 (WDM);c:\windows\system32\DRIVERS\se2Eunic.sys [2008-01-17 90800]

S4 hpt3xx;hpt3xx; []

.

- - - - Entfernte verwaiste Registrierungseinträge - - - -
 

BHO-{6F0D4E0B-3063-4444-8EE7-DBFCBFA10293} - (no file)

BHO-{B709A88D-562F-4725-9FB9-DA563EAF3A2C} - (no file)

BHO-{E15CB747-FEAE-43A2-B6EB-EAAEB8B74971} - (no file)

Notify-iifecdb - iifecdb.dll
 
 

.

------- Zusätzlicher Suchlauf -------

.

FireFox -: Profile - c:\dokumente und einstellungen\Michael\Anwendungsdaten\Mozilla\Firefox\Profiles\0pgk6tua.default\

FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.de

.
 

**************************************************************************
 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-20 23:35:29

Windows 5.1.2600 Service Pack 2 NTFS
 

Scanne versteckte Prozesse...
 

Scanne versteckte Autostarteinträge...
 

Scanne versteckte Dateien...
 

Scan erfolgreich abgeschlossen

versteckte Dateien: 0
 

**************************************************************************

.

------------------------ Weitere laufende Prozesse ------------------------

.

c:\programme\Avira\AntiVir PersonalEdition Classic\sched.exe

c:\programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

c:\windows\system32\nvsvc32.exe

c:\programme\Gemeinsame Dateien\Teleca Shared\Generic.exe

c:\programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

c:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Zeit der Fertigstellung: 2008-11-20 23:37:18 - PC wurde neu gestartet

ComboFix-quarantined-files.txt  2008-11-20 22:37:14
 

Vor Suchlauf: 11 Verzeichnis(se), 113,650,573,312 Bytes frei

Nach Suchlauf: 11 Verzeichnis(se), 113,594,556,416 Bytes frei
 

208

so, und hier jetzt noch der Link für das Protokoll des Filelistings nach Nr. 7.) (musste doch sicher auch noch gemacht werden, oder ?)

File-Upload.net - listing.txt

Jetzt bin ich aber mal gespannt :) Also der Rechner läuft schon mal wieder schneller und die Fehlleitungen beim Googlen sind im Moment auch nicht mehr da. Bin ich etwa geheilt ?

Anleitung Avenger (by swandog46)

Lade dir das Tool Avenger und speichere es auf dem Desktop:

Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

Code:

folders to delete:

c:\programme\uqbjlwd

c:\dokumente und einstellungen\All Users\Anwendungsdaten\bgtgfkvi

c:\dokumente und einstellungen\All Users\Anwendungsdaten\anupsnin
 
 

files to delete:

C:\WINDOWS\Tasks\SA.DAT

http://mitglied.lycos.de/efunction/tb/avenger.png

Schliesse nun alle Programme und Browser-Fenster

Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet

Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.
Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

Hallo,

vielen Dank für die schnelle Hilfe. Ich weiß zwar nicht so genau, was ich da mache, aber es funktioniert wirklich gut. Hier der Avenger-Report:

Code:

 Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Script file opened successfully.

Script file read successfully.
 

Backups directory opened successfully at C:\Avenger
 

*******************
 

Beginning to process script file:
 

Rootkit scan active.

No rootkits found!
 

Folder "c:\programme\uqbjlwd" deleted successfully.

Folder "c:\dokumente und einstellungen\All Users\Anwendungsdaten\bgtgfkvi" deleted successfully.

Folder "c:\dokumente und einstellungen\All Users\Anwendungsdaten\anupsnin" deleted successfully.

File "C:\WINDOWS\Tasks\SA.DAT" deleted successfully.
 

Completed script processing.
 

*******************
 

Finished!  Terminate.

werd mich gleich mal an das HijackThis ran machen...

so, und hier noch mal das aktuelle HiJackThis Logfile. Bin ja mal gespannt...

Code:

 Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:33:07, on 22.11.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Programme\QuickTime\qttask.exe

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

C:\Programme\Java\jre1.6.0_06\bin\jusched.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe

C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE

C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe

C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

C:\Programme\Java\jre1.6.0_06\bin\jucheck.exe

C:\Programme\HiJackThis II\qlketzd.com
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll

O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll

O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
 

--

End of file - 5252 bytes