Trojaner-Board - Virus/Trojaner nach Neuinstallation?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Virus/Trojaner nach Neuinstallation? (https://www.trojaner-board.de/65001-virus-trojaner-neuinstallation.html)

Virus/Trojaner nach Neuinstallation?

Hallo liebe Forum User,

alos ich habe folgendes Problem.

Habe mein System (Acer Notebook) aus Performancegründen mal wieder neu aufgesetzt.

Nun habeich das Win XP Home drauf und erstmal nur den Anti Vir installiert.

Schnell ein paar Treiber von der ofiziellen Acer-Webseite geladen, alle Geräte installiert. Dann nach ein paar mal Neustarten, zeigte mir Anti Vir, div. *exe im Ordner

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp

oder im Ordner

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files

Es wurde angezeigt von AntiVir:

TR/Agent.9773

Dateinamen waren z.B.:

873.exe
c1234[1].exe
177.exe
usw.

habe schon folgendes Versuch:

Abgesicherter Modus, Scanner laufen lassen, gefundene Daten mit Eraser löschen. Nochmals suchen lassen, nix gefunden...
System normal gestartet.

Dann nach ner Zeit fand Antivir wieder was in den besagten Ordnern.

Habe zusätzlich noch Free AVG installiert und suchen lassen der hat auch wieder in den besagten Orndern was gefunden...

Dann wieder abgesicherter Modus und dort wieder suchen lassen, diesmal aber mit Antivir, AVG und anti-Malware. Nachdem ich wieder alle gefunden Daten unter ...\Temp gelöscht hatte, fand wieder keiner was...

Nun gut, versuchen kann ich wohl noch viel dachte ich, also system das ja eigentlich total jungfräulich war, neu aufgesetzt.
Und es war wieder das gleiche...

Habe bei google nichts wirkliches gefunden was mir helfen würde...
Das einziege was ich dort gelesen habe ist, das es wohl auch "Programme/Trojaner" gibt die sich in eine sog. autostartdatei auf externen Festplatten, USB Sticks usw. ablegt und dann immerwieder die Daten auf C: aufspielt? Evtl habe ich ja auch das Problem? Was mich daran nun stört ist z.b. das ich hie mit teilweise 4 externen Platten Arbeite und nun befürchte das alle was im "autostart" haben könnten?!

Nun bin ich mit meinem Latein am Ende und hoffe mir kann wer helfen?!
Neuaufsetzen des Systems ist eigentlich kein Problem und wohl auch die einfachste Lösung, nur wie gesgat nach 4 Mal in 2 Tagen, und das dann immer ohne Erfolg, weiß ich nicht weiter...:confused:

Danke für eure Mühe!

EDIT:

Hier nich ein gerade erstelltes Logfile von HiJackThis:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:32:28, on 23.11.2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

C:\PROGRA~1\AVG\AVG8\avgrsx.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\PROGRA~1\LAUNCH~1\LManager.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\RTHDCPL.EXE

C:\PROGRA~1\AVG\AVG8\avgtray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe

C:\Programme\AVG\AVG8\avgui.exe

C:\Programme\AVG\AVG8\avgscanx.exe

c:\programme\avira\antivir personaledition classic\avscan.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll

O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe

O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe

O4 - HKLM\..\Run: [AntiSpyWare2Guard] C:\Programme\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWare2Guard.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Windows Video Drivers] C:\RECYCLER\S-1-5-21-7821328730-6847726177-759648761-0753\winlogon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1227366373453

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll

O20 - AppInit_DLLs: avgrsstx.dll

O23 - Service: Ashampoo AntiSpyWare 2 Service (AASW2_Service) - Unknown owner - C:\Programme\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\Logitech\SrvLnch\SrvLnch.exe
 

--

End of file - 4748 bytes

Hallo,

Zitat:

Es wurde angezeigt von AntiVir:

TR/Agent.9773

Dateinamen waren z.B.:

873.exe
c1234[1].exe
177.exe
usw.

Das können Fehlalarme sein. Bist Du mit dem IE :balla: wirklich nur auf der Acer-Seite gewesen?
Welches SP war installiert als Du den ersten Gang ins Internet hattest?

Zitat:

Habe zusätzlich noch Free AVG installiert und suchen lassen der hat auch wieder in den besagten Orndern was gefunden...

Mach das nicht! Zwei oder mehr Virenscanner mit Hintergrundwächter können sich gegenseitig aushebeln! Evtl kamen diese Funde auch deswegen zustande, weil Du mehrere Wächter im Hintergrund hast!

Du solltest Dich von dem gedanken verabschieden, dass man mit Virenscannern ein System effektiv absichern kann, mit mehreren machst Du das ganze nur noch schlimmer.

Bitte lesen:

1.) Braucht man einen Virenscanner
2.) Kompromittierung unvermeidbar?

Code:

C:\RECYCLER\S-1-5-21-7821328730-6847726177-759648761-0753\winlogon.exe

wtf? :eek:
Bitte mal bei Virustotal auswerten lassen und Ergebnisse komplett posten.

Zitat:

Das können Fehlalarme sein. Bist Du mit dem IE wirklich nur auf der Acer-Seite gewesen?
Welches SP war installiert als Du den ersten Gang ins Internet hattest?

ja war wirklich nur auf der seite um noch ein paar Fehlende Treiber für GraKa und MNodem zu saugen. Das System war zu dem Zeitpunkt ja absolut jungfräulich. Welches SP drauf war weiß ich nun nicht genau, denn ich habe den Download des SP bzw der Updates für Winddof im HG laufen gehabt,... kann sein das es noch SP 1 war oder auch schon 2.

Zitat:

also den zweiten Scanner habe ich erst installiert, als mir AntiVir den ersten Fund gezeigt hatte. Habe sonst auch nur AntiVir am laufen und nicht zwei :rolleyes: den ersten fund hatte er mir aber ja gezeigt als ich NUR AntiVir am laufen hatte,...
und das ich ein System nicht 100% abschotten kann, mit einem oder 2 oder weiß der Geier wie viele Scanner ist mir schon klar gewesen. Aber besser AntiVir o.ä. als gar nix oder?

PS: Welcher der beiden Antivirentools ist denn besser? AntiVir oder Free AVG?

Zitat:

Code:
C:\RECYCLER\S-1-5-21-7821328730-6847726177-759648761-0753\winlogon.exewtf?
Bitte mal bei Virustotal auswerten lassen und Ergebnisse komplett posten.

komme an die Datei nicht ran. Öffne ich über Arbeitsplatz den Ordnber auf C: dann zeigt er mit viele kleine "Mülleimer" mit wirren Zahlencodes an, aber alle sind "leer". auch das öffnen von dem besagten Eimer mit Virus total, hatte keinen erfolgt er sagt mir 0 bytes loaded

unter der regedit konnte ich folgendes finden:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

einen Eintrag miot Namen:

Code:

Windows Video Drivers

und dem Wert:

Code:

C:\RECYCLER\S-1-5-21-7821328730-6847726177-759648761-0753\winlogon.exe

hast du evtl noch einen Tipp für mich?

Zitat:

PS: Welcher der beiden Antivirentools ist denn besser? AntiVir oder Free AVG?

Ich würde zu AntiVir tendieren...wobei aber ein Virenscanner nicht wirklich für die Sicherheit des Systems entscheidend sind.
Begründung:

1.) Braucht man einen Virenscanner?
2.) Kompromittierung unvermeidbar?

Zitat:

hast du evtl noch einen Tipp für mich?

Bitte einmal Combofix durchlaufen lassen:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]