Mein armer PC!
 

Hi leute ich hab heute nen hijackthis logfile gemacht:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:08:09, on 25.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Lavasoft\Ad-Aware\aawservice.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\Programme\Alwil Software\Avast4\aswUpdSv.exe
D:\Programme\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Programme\Bonjour\mDNSResponder.exe
D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
D:\Programme\Mouse Driver\KMWDSrv.exe
D:\Programme\CDBurnerXP\NMSAccessU.exe
D:\Programme\Alwil Software\Avast4\ashMaiSv.exe
D:\Programme\Alwil Software\Avast4\ashWebSv.exe
D:\WINDOWS\system32\wscntfy.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
D:\WINDOWS\RTHDCPL.EXE
D:\Programme\Mouse Driver\StartAutorun.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\Programme\Mouse Driver\KMConfig.exe
D:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\WINDOWS\system32\RunDll32.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\Mouse Driver\KMProcess.exe
D:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
D:\Programme\iPod\bin\iPodService.exe
D:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O4 - HKLM\..\Run: [GEST] m’|\ü
O4 - HKLM\..\Run: [StartCCC] "D:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [KMCONFIG] D:\Programme\Mouse Driver\StartAutorun.exe KMConfig.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "D:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "D:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [messengerskinner] D:\Programme\MessengerSkinner\MessengerSkinner.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Download with ImTOO Download YouTube Video - D:\Programme\ImTOO\Download YouTube Video\upod_link.HTM
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab[/url]
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - D:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: Keyboard And Mouse Communication Service (KMWDSERVICE) - UASSOFT.COM - D:\Programme\Mouse Driver\KMWDSrv.exe
O23 - Service: NMSAccessU - Unknown owner - D:\Programme\CDBurnerXP\NMSAccessU.exe

--
End of file - 7016 bytes

Sieht für mich nicht gut aus. Mein Avira hat heute einen Trojan downloader gefunden:

In der Datei 'D:\System Volume Information\_restore{55420402-19BA-4E21-9A93-C9976AC35936}\RP54\A0045267.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/VB.GWF' [backdoor] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

Der muss schon länger im PC sein und hat somit wohl schon zugeschlagen.
Wie sieht mein LogFile so aus? Was schlimmes dabei?

MFG

grandnic11


/EDIT

Das ist ein Virus das weiß ich. Den habe ich aber auch schon gelöscht. (Ist schon ein paar Monate her).
Ist der immernoch gefährlich?

Deaktivieren der Systemwiederherstellung

Windows XP:

• Start => Ausführen => sysdm.cpl eingeben => "OK" drücken
• Wähle den Reiter "Systemwiederherstellung"
• Einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" setzen => "übernehmen" drücken
• Jetzt den PC booten, der Start kann eine Weile dauern
• Den Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" entfernen und "OK" drücken

unten rechts auf das Avira Symbol klicken bei Ereignis/Bericht das posten wo die Meldung kam.

In der Datei 'D:\System Volume Information\_restore{55420402-19BA-4E21-9A93-C9976AC35936}\RP54\A0045267.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/VB.GWF' [backdoor] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

sieht nicht gut aus :(

Malwarebytes' Anti-Malware

• Downloade Malwarebytes' Anti-Malware >>hier<< oder falls Malware verhindenr sollte dass der Link nicht geht versuche es mit diesem
• Installiere Anti-Malware unter dem vorgegebenen Pfad
• Vor jedem Scan solltest du Malwarebytes' Anti-Malware updaten, indem du die Option "Update" wählst => klicke auf den Button "Suche nach Aktualisierungen"
• Gehe nun wieder zurück zu "Scanner" und führe einen Vollständigen Suchlauf durch! => klicke nun auf "Scan"
• Klicke alle Laufwerke an => drücke "Scan starten"
• Lasse alle Funde löschen!
• Poste anschließend das enstandene Logfile

SUPERAntiSpyware

• Downloade SASW >>hier<<
• Installiere das SASW für alle Benutzer mit den vorgegebenen Installationseinstellungen
• Starte es und klicke auf "Check for Updates...". Nachdem dem Update erscheint ein Protokollfenster, schließe es mit "close"
• Klicke im Hauptmenü auf "Preferences", wähle den Reiter "General and Startup", bei dem Kästchen "Start SUPERAntispyware when Windows starts" sollte kein Haken sein
• Wähle nun den Reiter "Scanning Control" und setze Haken bei:
  
• Close browseres before scanning
  
• Scan for tracking cookies
  
• Resolve Links/Shortcuts during scan (.Ink)
  
• Scan Alternate Data Streams
  
• Use Kernel Direct File Access (recommended)
  
• Use Kernel Direct Registry Access (recommended)
  
• Use Direct Disk Access (recommended)
  
• Display scan option in Explorer context (right-click) menu

• Klicke im Hauptmenü den Button "Scan your Computer..."
• Wähle in der Scan Location alle Festplatten und externe Datenträger aus
• Klicke auf "Perform Complete Scan" und gehe auf "weiter"
• Achte darauf dass die Funde in der Box markiert sind, danach klicke auf "weiter"
• Das Log findest du unter "Preferences..." => "Statistics/Logs" => klicke das Log an => "View Log..."

[*]Poste nun das Log

Hi,

Also ich hab schon alles mit spybot, Avira, Avast und Ad-aware geprüft.
Auch schon mit online Virenscanern. Alle finden nichts. Die komische exe datei ist auch schon gelöscht. Wollte eigentlich nur fragen ob nicht doch was falsch ist. Was meint ihr nun zum Logfile?

da ist noch was drauf


aber deinstalliere Ad-Aware, Spybot.
Was für ein AV-Programm benutzt du, also was für Hintergrundwächter sind aktiv?

Avira und Avast.

Bitte deinstalliere Avast oder Avira. An deiner Stelle würde ich Avira drauf lassen, aber deine Entscheidung. Man sollte nie 2 Hintergrundwächter aktiv lassen.

Und dann weiter ;)

Also von Avast kann ich mich gerne trennen. Hat glaub ich noch nie ne Meldung gebracht. Aber spybot hat mir schon öfter den "arsch gerettet^^", hatte mal ne Zango infektion und sogar einen älteren Vundo hat es wegbekommen.

Was ist denn da noch so drauf?

An deiner Stelle würde ich Neuaufsetzen.
Dann bist du auf der sicheren Seite

Mhh also Avast ist weg , messengerskinner weg und der andere Virus weg.
Sonst nochwas bedenkliches?

Ja die Backdoor die Avira gefunden hat und die älteren Infektionen.

Alles andere wäre nur ein rumgeschraube und würde nichts bringen.
Nimm mein Rat an und mache das => Neuaufsetzen

Ok :Boogie: wenn ich dann sicher bin^^

Aber eine frage noch:

Wo zur hölle kommen die ganzen viren her? Ich lade nicht oft was runter. Das mit messenger skinner war ein einzelfall. Ber der eine backdoor wo kam der her?!

Es könnte an einem nicht aktuellen System liegen, deswegen alle Programme aktualisieren, die Windows Patches installieren etc.

Es könnte daran liegen, dass man Dateien aus unseriösen Quellen herunterläd z.b. von P2P Netzwerken wie: eMule, Limewire etc.
Oder von den Freunden aus ICQ...


Dann eine große Rolle spielt das Klick Verhalten, man sollte nicht einfach überall drauf klicken wo es was zum Klicken gibt und alles einfach herunterladen egal ob man es braucht oder nicht.


Alles in allem deckt brain.exe so gut wie alles ab. => sein Hirn einschalten.



dann lies dir bitte das alles durch:

• http://www.trojaner-board.de/51262-a...sicherung.html
• http://www.trojaner-board.de/13150-u...-erfa-ulm.html

das sollte dir zusätzlich helfen: (danke Undoreal :))

Ok brain.exe ist gestartet ;)

Hab nochmal zum schluss ne Avira Prüfung gemacht. Ergebniss:

Funde: 14

Verdächtige Dateien: 31

Warnungen: 14

Dursuchte Objekte: 2394828281

Versteckte Objekte: 30293

Letzter Fund: TR/Vundo_M

xD naja wie gesagt mein armer PC.

Hätte nie gerechnet das ich so schlimm infiziert bin.

Naja dann setze ich mal neu auf. :pfui:

Bis bald leute!

MFG

*genervter* grandnic11

Hör auf zu jammern :twak:, anstatt dauernd zu erwähnen das dein PC arm ist, hättest du mal lieber beschreiben können wo Antivir den Trojan.Vundo gefunden hat.

Man nennt es auch genauen Dateipfad -> c:\windows\system32\....exe ;)

Desweiteren ist durch MessengerSkinner ein Trojaner namens Trojan.Skintrim auf dem System gelandet.
Die Auswertung von Malwarebytes und Superantispyware wäre sehr vorteilhaft für dich, somit wäre sogar eine Neuinstallation nicht nötig.
(warum wurde das eigentlich angeraten?)

Hi,

also der Vundo (beide Vundos) wurden in D:\Dokumente und Einstelungen\Rambo21\918274927\{92/81}\File281.rar gefunden.
Von dieser Rar Datei habe ich noch NIE etwas gewusst und auch NIE irgendwo runtergeladen. Die anderen Viren wurden auch in komischen Dateien Gefunden z.B. D:\Dokumente und Einstelungen\Rambo21\8172\{72/12}
Und von dieser Rambo21 sache hab ich auch noch nie was gehört!

@ Sunny

Zum einen weil Avira eine Backdoor gefunden hat zum anderen weil da nocht andere Malware drauf ist, für meinen Geschmack einfach zu viel.
Dann noch weil er das SP2 hat und den IE 6.
Daher finde ich das Neuaufsetzen angebracht

SP2? IE 6? Was ist das?!

Service Pack 2, das aktuellste ist das SP3

IE6 ist der Internet Explorer 6 völlig veraltet

das zeigt dass du dich nicht um dein System kümmerst

Explorer ist mir egal ich benutze Firefox (Ist sicherer)
und das Servicepack dürfte eigentlich das neuste sein.

Der IE ist nicht egal zum einen weil man mit dem IE normalerweise seine Updates macht und z.b. das neuste SP herunterläd (SP3)

Gut ok danke für den Tipp :D

Ich würd jetzt aber gerne Sunnys Stellungnahme hören.

Ist eigentlich egal mein Windows ist neu drauf und alles ist perfekt glelaufen. Jetzt brauch ich nur noch ein gutes Antivir. Avira würde ich auch nochmal benutzen.

Schon das SP3 aufm PC genauso wie die Windows Pachts?
Avira AntiVir - magnus.de

Yo update läuft.

@ Sunny

Selbst hier im Forum wird bei einem TR/Vundo geraten neuaufzusetzen!
Die bekommt man einfach nichtmehr weg!

So verallgemeinern darfst du das auch nicht, außerdem ich denke dass Sunny mehr Ahnung hat und er weis was er macht/sagt

Sorry, ich war gerade etwas verhindert. ;)

Der Backdoor wurde in der Systemwiederherstellung gefunden.
Windows protokolliert den Konfigurationszustand in so genannten
Wiederherstellungspunkten, unter anderem auch

d.h. unter Umständen war niemals ein aktiver Backdoor im System, vielleicht war es nur ein Cookie was Antivir aufschreien ließ nach einer neuen Virensignatur.
Denn diese Backdoor sagt mir rein garnichts -> BDS/VB.GWF

Das ungepatchte System ist zwar wahrlich ein Grund alles neu zu installieren, aber man kann/könnte es vertreten hier trotzdem zu bereinigen. ;) Liegt aber im Ermessen des einzelnen Users...

Wer hat dir das geraten?
Es kommt immer auf die Infizierung direkt an. Vundo kann man, auch wenn er Backdoorfunktionen aufweist, fast immer entfernen!

Kla hat der mehr ahnung ich bin voll der PC noob xD und er ist Moderator. Aber auf den RIESEN Aufwand alle viren los zu werden habe ich auch keine Lust. Da setze ich lieber neu auf ;)

EDIT

das war an Jig^^

@Sunny

Ja du hast warscheinlich recht ;) Aber jetzt ist es zu spät^^ Jetzt bin ich alle Viren los und happy. Und das wollen doch alle ereichen.

Aber eine Frage hab ich noch zu Avira: Kann man das Piepen vom Piepser bei einer Warnung abstellen? Das nervt tierisch.

Gruß

grandnic11

Ja kein Problem ich bin nur manchmal ein wenig ungeduldig :)

Aber da auf dem PC auch noch anderes gefunden wurde, hatte ich es für sinnvoll gehalten Neuaufzusetzen.


@grandnic11
du solltest mal über dein Verhalten am PC nachdenken, ich hoffe das alles war dir eine Lehre.

Was heute noch alles in brain.exe porgramiert worden ist:

- Lade nicht jeden Müll runter

- Updaten

- Prüfen

:party:

das könnte auch noch von Nutzen sein für dich:
http://www.trojaner-board.de/69792-r...tml#post412719

Ja da stand einiges hilfreiches drinne danke.

Ich glaub der Thread hier kann geschlossen werden oder als gelöst abgehakt werden.