Trojaner-Board - Trojaner TR/Proxy.VB.BR

Hallo zusammen -

mein Rechner wollte beim Hochfahren erst im dritten Anlauf booten. Wenn ich es recht erinnere konnte dabei die Boot-Partition auf der Platte nicht gefunden werden.

Der Systemvirenscan hat darauf hin einen Befall mit dem Trojaner TR/Proxy.VB.BR gemeldet und diesen in Quarantäne verschoben - aber damit ist es ja leider nicht getan.

Code:

...

Beginne mit der Suche in 'H:\' <daten>

H:\RECYCLER\S-1-5-21-1715567821-1592454029-725345543-1001\Dh47\verzeichnisA\verzeichnisB\tmgmdwu\keygenUltra.EXE

    [FUND]      Ist das Trojanische Pferd TR/Proxy.VB.BR

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4ad92df2.qua' verschoben!

...

Ein zweiter Suchlauf mit verschärften AV-Einstellungen reported 30 unerwünschte Programme. Es heisst "Virenscannern kann man nicht trauen, denn sie melden manchmal Schädlinge, die gar nicht da sind." (Quelle: h**p://www.oschad.de/wiki/Virenscanner) Wie weiss ich also, ob dieses ganze Zeugs wirklich auf meinem Rechner ist??

Code:

Avira AntiVir Premium

Erstellungsdatum der Reportdatei: Freitag, 17. Juli 2009  14:40
 

Es wird nach 1544046 Virenstämmen gesucht.
 

Lizenznehmer:     XXX

Seriennummer:     XXX

Plattform:        Windows 2000

Windowsversion:   (Service Pack 4)  [5.0.2195]

Boot Modus:       Normal gebootet

Benutzername:     SYSTEM

Computername:     CHAMPA
 

Versionsinformationen:

BUILD.DAT     : 8.2.0.384      21404 Bytes  15.05.2009 11:39:00

AVSCAN.EXE    : 8.1.4.10      315649 Bytes  18.11.2008 08:21:23

AVSCAN.DLL    : 8.1.4.0        48897 Bytes  09.05.2008 11:27:06

LUKE.DLL      : 8.1.4.5       164097 Bytes  12.06.2008 12:44:16

LUKERES.DLL   : 8.1.4.0        12545 Bytes  09.05.2008 11:40:42

ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  27.10.2008 11:30:36

ANTIVIR1.VDF  : 7.1.4.132    5707264 Bytes  24.06.2009 18:28:48

ANTIVIR2.VDF  : 7.1.4.221    1273856 Bytes  12.07.2009 15:13:48

ANTIVIR3.VDF  : 7.1.4.245     384000 Bytes  16.07.2009 15:13:58

Engineversion : 8.2.0.215 

AEVDF.DLL     : 8.1.1.1       106868 Bytes  01.05.2009 11:23:45

AESCRIPT.DLL  : 8.1.2.16      438651 Bytes  15.07.2009 15:13:58

AESCN.DLL     : 8.1.2.3       127347 Bytes  15.05.2009 20:12:20

AERDL.DLL     : 8.1.2.4       430452 Bytes  15.07.2009 15:13:57

AEPACK.DLL    : 8.1.3.18      401783 Bytes  27.05.2009 18:20:54

AEOFFICE.DLL  : 8.1.0.38      196987 Bytes  18.06.2009 19:08:26

AEHEUR.DLL    : 8.1.0.141    1855864 Bytes  15.07.2009 15:13:57

AEHELP.DLL    : 8.1.4.5       229748 Bytes  15.07.2009 15:13:55

AEGEN.DLL     : 8.1.1.48      348532 Bytes  03.07.2009 13:30:22

AEEMU.DLL     : 8.1.0.9       393588 Bytes  14.10.2008 10:05:56

AECORE.DLL    : 8.1.7.5       180597 Bytes  15.07.2009 15:13:55

AEBB.DLL      : 8.1.0.3        53618 Bytes  14.10.2008 10:05:56

AVWINLL.DLL   : 1.0.0.12       15105 Bytes  09.07.2008 08:40:02

AVPREF.DLL    : 8.0.2.0        38657 Bytes  16.05.2008 09:27:58

AVREP.DLL     : 8.0.0.3       155688 Bytes  20.04.2009 18:11:32

AVREG.DLL     : 8.0.0.1        33537 Bytes  09.05.2008 11:26:37

AVARKT.DLL    : 1.0.0.23      307457 Bytes  12.02.2008 08:29:19

AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  12.06.2008 12:27:46

SQLITE3.DLL   : 3.3.17.1      339968 Bytes  22.01.2008 17:28:02

SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  12.06.2008 12:49:36

NETNT.DLL     : 8.0.0.1         7937 Bytes  25.01.2008 12:05:07

RCIMAGE.DLL   : 8.0.0.51     2564353 Bytes  12.06.2008 13:26:26

RCTEXT.DLL    : 8.0.51.0       90369 Bytes  27.06.2008 10:57:53
 

Konfiguration für den aktuellen Suchlauf:

Job Name.........................: Vollständige Systemprüfung

Konfigurationsdatei..............: c:\programme\avira\antivir personaledition premium\sysscan.avp

Protokollierung..................: niedrig

Primäre Aktion...................: interaktiv

Sekundäre Aktion.................: ignorieren

Durchsuche Masterbootsektoren....: ein

Durchsuche Bootsektoren..........: ein

Bootsektoren.....................: C:, F:, G:, H:, I:, 

Durchsuche aktive Programme......: ein

Durchsuche Registrierung.........: ein

Suche nach Rootkits..............: ein

Datei Suchmodus..................: Alle Dateien

Durchsuche Archive...............: ein

Rekursionstiefe einschränken.....: aus

Archiv Smart Extensions..........: ein

Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, 

Makrovirenheuristik..............: ein

Dateiheuristik...................: hoch

Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,
 

Beginn des Suchlaufs: Freitag, 17. Juli 2009  14:40
 

Der Suchlauf nach versteckten Objekten wird begonnen.

Fehler in der ARK Lib
 

Der Suchlauf über gestartete Prozesse wird begonnen:

Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'internat.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'Matrox.PowerDes' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht

Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avwebgrd.exe' - '0' Modul(e) wurden durchsucht

Durchsuche Prozess 'avmailc.exe' - '0' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'mspmspsv.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'WinMgmt.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'stisvc.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'mstask.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'regsvc.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'Matrox.Pdesk.Se' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'Matrox.PowerDes' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avesvc.exe' - '0' Modul(e) wurden durchsucht

Durchsuche Prozess 'avguard.exe' - '0' Modul(e) wurden durchsucht

Durchsuche Prozess 'sched.exe' - '0' Modul(e) wurden durchsucht

Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'LSASS.EXE' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SERVICES.EXE' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'WINLOGON.EXE' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'CSRSS.EXE' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SMSS.EXE' - '1' Modul(e) wurden durchsucht

Es wurden '24' Prozesse mit '24' Modulen durchsucht
 

Der Suchlauf über die Masterbootsektoren wird begonnen:

Masterbootsektor HD0

    [INFO]      Es wurde kein Virus gefunden!

Masterbootsektor HD1

    [INFO]      Es wurde kein Virus gefunden!

Masterbootsektor HD2

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf über die Bootsektoren wird begonnen:

Bootsektor 'C:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'F:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'G:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'H:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'I:\'

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '44' Dateien ).
 
 

Der Suchlauf über die ausgewählten Dateien wird begonnen:
 

Beginne mit der Suche in 'C:\'

C:\pagefile.sys

    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

Beginne mit der Suche in 'F:\'

F:\Eigene Dateien\Einstellungen _padma\Anwendungsdaten\Thunderbird\Profiles\9ai0d8mo.default\Mail\Local Folders\Inbox

    [0] Archivtyp: Netscape/Mozilla Mailbox

      --> Mailbox_[Subject: Re: xyz - Das Photomaterial - Luzerne][From: mail@mailadresse.pl][Message-ID: <20051031103052.C7C009D9F6@mail-in-09.arcor-onl]2448.mim

        [1] Archivtyp: MIME

        --> FotoSession.JPG.com

          [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.PS

      --> Mailbox_[Message-ID: <0a4501c5f750$0fe027c0$de34e43f@peter>][From: <mail@mailadresse>][Subject: Ihre Anfrage]2744.mim

        [1] Archivtyp: MIME

        --> spielv2.zip

          [2] Archivtyp: ZIP

          --> lucky-seven-casino.exe

            [FUND]      Enthält Erkennungsmuster des Spielprogrammes GAME/Casino.Gen

      --> Mailbox_[Subject: Re: xyz - Das Photomaterial - Luzerne][From: anderemail@mailadresse][Message-ID: <20051031103052.C7C009D9F6@mail-in-09.arcor-onl]3216.mim

        [1] Archivtyp: MIME

        --> FotoSession.JPG.com

          [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.PS

      --> Mailbox_[Message-ID: <d3e101c60da1$cc57f510$73177a05@peter>][From: mail@mailadresse][Subject: Auskunft]3628.mim

        [1] Archivtyp: MIME

        --> spielv2.zip

          [2] Archivtyp: ZIP

          --> lucky-seven-casino.exe

            [FUND]      Enthält Erkennungsmuster des Spielprogrammes GAME/Casino.Gen

      --> Mailbox_[Message-ID: <92B2856F.D25CD7E@yahoo.com>][From: <anderemail@mailadresse>][Subject: Kontostand]3800.mim

        [1] Archivtyp: MIME

        --> spielv2.zip

          [2] Archivtyp: ZIP

          --> lucky-seven-casino.exe

            [FUND]      Enthält Erkennungsmuster des Spielprogrammes GAME/Casino.Gen

      --> Mailbox_[Message-ID: <325801c623b0$cf047570$1f7faba2@michael>][From: nochanderemail@mailadresse][Subject: Auskunft]3950.mim

        [1] Archivtyp: MIME

        --> spielv2.zip

          [2] Archivtyp: ZIP

          --> lucky-seven-casino.exe

            [FUND]      Enthält Erkennungsmuster des Spielprogrammes GAME/Casino.Gen

      --> Mailbox_[Subject: Hallo von Tanja][From: mail@mailadresse][Message-ID: <20060314120650.829A5256466@mail-in-09.arcor-on]4680.mim

        [1] Archivtyp: MIME

        --> Bild-Tanja__JPG.com

          [2] Archivtyp: ZIP SFX (self extracting)

          --> Tanja.reg

            [FUND]      Ist das Trojanische Pferd TR/Killav.HR.2

      --> Mailbox_[Subject: Hallo, Bewerbung von Tanja][From: anderemail@mailadresse][Message-ID: <20060316224613.37670134EC6@mail-in-03.arcor-on]4718.mim

        [1] Archivtyp: MIME

        --> Tanja-1_Tanja-2__JPG.com

          [FUND]      Ist das Trojanische Pferd TR/Drop.MJoiner.13.J

      --> Mailbox_[Message-ID: <7bb101c65e46$58329730$6cc99530@webroof>][From: <anderemail@mailadresse>][Subject: Auskunft]5290.mim

        [1] Archivtyp: MIME

        --> spielv2.zip

          [2] Archivtyp: ZIP

          --> lucky-seven-casino.exe

            [FUND]      Enthält Erkennungsmuster des Spielprogrammes GAME/Casino.Gen

      --> Mailbox_[Subject: Von Britta][From: anderemail@mailadresse][Message-ID: <20060629022740.C1CAC33F365@mail-in-09.arcor-on]6224.mim

        [1] Archivtyp: MIME

        --> Bild-05___JPG.com

          [FUND]      Enthält Erkennungsmuster des Droppers DR/Agent.Age.66.A

    --> Mailbox_[Subject: Sparkasse warnt Sie! Lesen Sie aufmerksam!][From: "Sicherheitsteam der Sparkasse" <email@mailadresse][Message-ID: <1GK0su-000ZQU-LV@h-68-165-241-5.mclnva23.covad]7284.mim

      [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen

      --> Mailbox_[Subject: Sparkasse warnt Sie! Lesen Sie aufmerksam!][From: "Sicherheitsteam der Sparkasse" <selbemail@mailadresse][Message-ID: <1GK0su-000ZQU-LV@h-68-165-241-5.mclnva23.covad]7284.mim

        [1] Archivtyp: MIME

        --> file0.html

          [FUND]      Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Spoofing.Gen

    [WARNUNG]   Bei der Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht!

F:\Eigene Dateien\Einstellungen _padma\Anwendungsdaten\Thunderbird\Profiles\9ai0d8mo.default\Mail\Local Folders\Eudora Mail.sbd\In

    [0] Archivtyp: Netscape/Mozilla Mailbox

      --> Mailbox_[From: Mail Delivery System <MAILER-DAEMON@anderemail@mailadresse][Subject: Undelivered Mail Returned to Sender][Message-ID: <20041116160916.EDB718080@mail@mailadresse>]1076.mim

        [1] Archivtyp: MIME

        --> document.pif

          [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Netsky.D.Dam

      --> Mailbox_[From: Mail Delivery System <MAILER-DAEMON@selbemail@mailadresse][Subject: Undelivered Mail Returned to Sender][Message-ID: <20041116160916.EDB718080@mailix.selbemail@mailadresse>]1078.mim

        [1] Archivtyp: MIME

        --> document1.pif

          [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Netsky.D.Dam

      --> Mailbox_[From: Mail Delivery System <MAILER-DAEMON@selbemail@mailadresse][Subject: Undelivered Mail Returned to Sender][Message-ID: <20041116160916.EDB718080@mailix.selbemail@mailadresse>]1080.mim

        [1] Archivtyp: MIME

        --> document2.pif

          [FUND]      Enthält Erkennungsmuster des Wurmes WORM/Netsky.D.Dam

    [WARNUNG]   Bei der Datei handelt es sich um eine Mailbox. Um Ihre Emails nicht zu beeinträchtigen wird diese Datei nicht repariert oder gelöscht!

Beginne mit der Suche in 'G:\' <os>

Beginne mit der Suche in 'H:\' <daten>
 
 

Beginne mit der Suche in 'I:\' <My Book>

I:\suF090716\Eigene Dateien\Einstellungen _padma\Anwendungsdaten\Thunderbird\Profiles\9ai0d8mo.default\Mail\Local Folders\Inbox
 

  
 <-- hier folgen auf der externen Platte nochmals die vom Laufwerk F gesicherten, infizierten Daten (siehe unten) -->
 
 

Ende des Suchlaufs: Samstag, 18. Juli 2009  02:46

Benötigte Zeit: 12:05:52 Stunde(n)
 

Der Suchlauf wurde vollständig durchgeführt.
 

  76006 Verzeichnisse wurden überprüft

 1228526 Dateien wurden geprüft

     30 Viren bzw. unerwünschte Programme wurden gefunden

      0 Dateien wurden als verdächtig eingestuft

      0 Dateien wurden gelöscht

      0 Viren bzw. unerwünschte Programme wurden repariert

      0 Dateien wurden in die Quarantäne verschoben

      0 Dateien wurden umbenannt

      1 Dateien konnten nicht durchsucht werden

 1228495 Dateien ohne Befall

  20157 Archive wurden durchsucht

      5 Warnungen

      0 Hinweise

  16236 Objekte wurden beim Rootkitscan durchsucht

      0 Versteckte Objekte wurden gefunden

GMER hat zumindest keine Rootkits vermeldet....

Code:

GMER 1.0.15.14972 - http://www.gmer.net

Rootkit scan 2009-07-18 22:52:31

Windows 5.0.2195 Service Pack 4
 
 

---- System - GMER 1.0.15 ----
 

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwConnectPort [0xBF9A68D0]

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwCreateFile [0xBF9A32D0]

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwCreateKey [0xBF9AE0D0]

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwCreatePort [0xBF9A6C60]

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwCreateProcess [0xBF9ACEE0]

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwCreateSection [0xBF9B06D0]

SSDT            815516FC                                                                     ZwCreateThread

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwCreateWaitablePort [0xBF9A6D40]

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwDeleteFile [0xBF9A3950]

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwDeleteKey [0xBF9AF0B0]

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwDeleteValueKey [0xBF9AED00]

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwDuplicateObject [0xBF9ACC50]

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwLoadKey [0xBF9AF3E0]

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwOpenFile [0xBF9A37A0]

SSDT            815516E8                                                                     ZwOpenProcess

SSDT            815516ED                                                                     ZwOpenThread

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwReplaceKey [0xBF9AF6D0]

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwRequestWaitReplyPort [0xBF9A6570]

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwRestoreKey [0xBF9AF980]

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwSecureConnectPort [0xBF9A6A80]

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwSetInformationFile [0xBF9A3AC0]

SSDT            \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)  ZwSetValueKey [0xBF9AE897]

SSDT            815516F7                                                                     ZwTerminateProcess

SSDT            815516F2                                                                     ZwWriteVirtualMemory
 

---- Kernel code sections - GMER 1.0.15 ----
 

?               srescan.sys                                                                  Das System kann die angegebene Datei nicht finden. !
 

---- Kernel IAT/EAT - GMER 1.0.15 ----
 

IAT             Ntfs.sys[NTOSKRNL.EXE!DbgPrint]                                              [BF9AC7B0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol]      [BF9AB3E0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol]    [BF9AB550] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter]           [BF9AB900] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT             \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter]          [BF9ABA60] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT             \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter]            [BF9ABA60] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT             \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol]        [BF9AB3E0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT             \SystemRoot\System32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter]             [BF9AB900] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT             \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol]     [BF9AB550] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT             \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol]       [BF9AB3E0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT             \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter]           [BF9ABA60] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT             \SystemRoot\System32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter]            [BF9AB900] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT             \SystemRoot\System32\drivers\afd.sys[NTOSKRNL.EXE!IoCreateFile]              [BF9B89B0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
 

---- Devices - GMER 1.0.15 ----
 

AttachedDevice  \FileSystem\Ntfs \Ntfs                                                       avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
 

Device          \Driver\Tcpip \Device\Ip                                                     vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

Device          \Driver\Tcpip \Device\Tcp                                                    vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
 

AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume1                                       snapman.sys (Acronis Snapshot API/Acronis)

AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume2                                       snapman.sys (Acronis Snapshot API/Acronis)

AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume3                                       snapman.sys (Acronis Snapshot API/Acronis)

AttachedDevice  \Driver\Ftdisk \Device\HarddiskVolume4                                       snapman.sys (Acronis Snapshot API/Acronis)
 

Device          \Driver\Tcpip \Device\Udp                                                    vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

Device          \Driver\Tcpip \Device\RawIp                                                  vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

Device          \Driver\Tcpip \Device\IPMULTICAST                                            vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)
 

AttachedDevice  \FileSystem\Fastfat \Fat                                                     avgntmgr.sys (Avira AntiVir File Filter Driver Manager/Avira GmbH)
 

---- EOF - GMER 1.0.15 ----

...auch MBR hat nix Verdächtiges gefunden wenn ich es recht verstehe?

Code:

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.6 by Gmer, http://www.gmer.net
 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

Hab die postings im Forum zu
Proxy.Delf.LP unter h**p://www.trojaner-board.de/75075-tr-proxy-delf-lp-hilfe.html und
Proxy.Lager.AQ.1 unter h**p://www.trojaner-board.de/27745-trojaner-tr-proxy-lager-aq-1-hilfe-7.html
studiert. Zur Version Proxy.VB.BR hat sich nichts gefunden, aber die infos zu anderen Varianten (h**p://www.pctools.com/mrc/infections/id/Trojan-Proxy.VB.X/ und h**p://www.pctools.com/mrc/infections/id/Trojan-Proxy.VB.I/) lassen nix Gutes ahnen.

Hatte in der ersten hektischen Aktivität ein backup - vom infizierten System aus - auf das externe Laufwerk gesichert, und dabei natürlich die Virendateien mitkopiert, zu blöd. Auf dem externen Laufwerk sind auch Daten die ich sonst nicht mehr habe, kann es also nicht einfach komplett formatieren. Gibt es eine Möglichkeit, ein "sauberes" Backup zu ziehen, und gleichzeitig mein Laufwerk wieder sicher virenfrei zu bekommen?

Erklärt der Trojaner bzw. der ganze sonstige Mist das merkwürdige Verhalten beim Starten, oder könnte ein zusätzliches Hardware-Problem die Ursache dafür sein? Bisher gab es keine Schwierigkeiten mehr beim Booten.

Und natürlich... die Frage aller Fragen... wie wahrscheinlich ist es, dass mein System kompromittiert ist??

Ich wäre sehr dankbar, wenn sich jemand die logfiles ansehen und mir weiterhelfen könnte!

Grüsse Susanne

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:31:09, on 17.07.2009

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v5.00 SP1 (5.00.2920.0000)

Boot mode: Normal
 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\ZoneLabs\vsmon.exe

C:\WINNT\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe

C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe

C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe

C:\WINNT\System32\svchost.exe

c:\Programme\Matrox Graphics Inc\PowerDesk\Services\Matrox.PowerDesk.Services.exe

c:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.Pdesk.ServicesHost.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\System32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe

C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE

C:\WINNT\Explorer.EXE

C:\WINNT\system32\RunDll32.exe

C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe

C:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe

C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe

C:\WINNT\system32\internat.exe

C:\WINNT\system32\wuauclt.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/software/ie401/search.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von T-Online

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://www.t-online.de/software/ie50/setpxy.pac

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [Matrox PowerDesk SE] "c:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe"

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de

O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avmailc.exe

O23 - Service: Avira AntiVir Premium Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\sched.exe

O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avguard.exe

O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE

O23 - Service: Avira AntiVir Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Premium\avesvc.exe

O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Matrox Centering Service - Matrox Graphics Inc. - c:\Programme\Matrox Graphics Inc\PowerDesk\Services\Matrox.PowerDesk.Services.exe

O23 - Service: Matrox.Pdesk.ServicesHost - Unknown owner - c:\Programme\Matrox Graphics Inc\PowerDesk SE\Matrox.Pdesk.ServicesHost.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe
 

--

End of file - 5503 bytes