Hallo miteinander!
habe folgendes Problem: es hat sich ein Trojaner bei mir auf dem rechner eingenistet, den ich nicht weg bekomme. Es handelt sich um das Trojanische Pferd "TR/Crypt.FKM.Gen" mit dem Dateinamen 33883343101.CPX.
Habe jetzt 5 Antiviren/SpywareProgramme probiert (A-SQUARED, Anti-Trojan Cow 4.1.2, Anti-Trojan 5.5.405, Malwarebytes Anti-Malware 1.23, sowie Avira Antivir Personal). Keines dieser Programme ist in der Lage den Trojaner zu vernichten. Er wird zwar gefunden (in Windows/system 32) und in Quarantäne gesetzt/ bzw. gelöscht, aber bei jedem Neustart taucht er wieder auf und zwar nicht einmal, sondern gleich 11 Mal! Also Antivir schlägt 11 Mal an! Direkt nach der Anmeldung wenn der Desktop erscheint piept es wie wild. Habe auch schon versucht den Trojaner per Hand zu löschen - Pustekuchen, nach dem Neustart alles wie gehabt, er ist wieder da! Der ist schlimmer als meine Ex;-)

Im Anhang habe ich mal das Logfile beigefügt.
Kann mir jemand sagen was da los ist, bzw. wie ich diesen Störenfried wieder weg bekomme?

Vielen Dank schon mal und beste Grüße (von dem Neuling hier im Forum),

Frank

Hat denn keiner eine Idee wie ich das Problem gelöst bekomme?

Hoi,
wenn du die 33883343101.CPX noch hast, packe sie bitte in ein passwortgeschütztes ZIP/RAR-Archiv (PW: abc) und sende das Ganze an meine Emailadresse (Profil).
Danach machst du bitte folgendes:

Blacklight scannen lassen

• Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
• Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
• Klick "I accept the agreement", "next", "Scan".
• Wenn der Scan fertig ist beende Blacklight mit "Close".
• Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

mfg

Hallo Dark,

dank erstmal! Hab Dir grade ne Mail geschickt! (an die gmx Adresse)

Danke, ich mach mich mal schlau, um was es sich dabei handelt.
Kann einige Zeit dauern, daher machen wir mit BlackLight weiter.

Edit:
Erstell bitte davon einen Log und poste den hier:

Deckards System Scanner (DSS)

Hier gibt es das Tool -> dss.exe

* Schließe alle Anwendungen
* Doppelklicke dss.exe um das Programm zu starten
* Wenn der Scan abgeschlossen ist wird sich ein Notepad mit dem Inhalt
der main.txt öffnen.
Ein weiteres Logfile, die extra.txt liegt im Verzeichnis
c:\Deckard\SystemScanner\extra.txt
* Kopiere den Inhalt der beiden Logfiles in diesen Thread, bitte als ['CODE]['/CODE]


Was Deckards System Scanner macht:

* Es Erstellt einen System Wiederherstellungspunkt
* es säubert die temporären Dateien, Downloaded Program Files, Internet
Cache Dateien und es leert den Mülleimer auf allen Lauferken.

Ok, hab ich gemacht anbei die logfiles!

hier das main.txt (ist zu gross um anzuhängen)

-- Last 5 Restore Point(s) --
54: 2008-08-17 18:06:04 UTC - RP312 - Deckard's System Scanner Restore Point
53: 2008-08-16 12:12:33 UTC - RP311 - Systemprüfpunkt
52: 2008-08-15 11:23:31 UTC - RP310 - Wiederherstellungsvorgang
51: 2008-08-13 19:57:12 UTC - RP309 - Systemprüfpunkt
50: 2008-08-12 18:09:58 UTC - RP308 - Systemprüfpunkt


-- First Restore Point --
1: 2008-05-18 18:22:43 UTC - RP259 - Systemprüfpunkt


Backed up registry hives.
Performed disk cleanup.



-- HijackThis Clone ------------------------------------------------------------


Emulating logfile of Trend Micro HijackThis v2.0.2
Scan saved at 2008-08-17 20:08:28
Platform: Windows XP Service Pack 2 (5.01.2600)
MSIE: Internet Explorer (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\EPSON\ESM2\eEBSvc.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\sstray.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\SSC Service Utility\ssc_serv.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Registry Mechanic\RegMech.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Gaby & Frank\Desktop\dss.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.com/search?q=%s
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.google.com/ie
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.com/ie
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\GoogleToolbar1.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [IW_ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [VOBID] C:\Programme\Pinnacle\InstantCDDVD\\InstantDrive\InstantDrive.exe /remount
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SSC Service Utility] C:\Programme\SSC Service Utility\ssc_serv.exe /s
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Glock Suite 1.1] C:\WINDOWS\system32\glock32.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Anti Trojan Elite] C:\Programme\Anti Trojan Elite\TJEnder.exe :NO
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
O4 - HKCU\..\Run: [braviax] C:\WINDOWS\system32\braviax.exe
O4 - HKCU\..\Run: [RegistryMechanic] C:\Programme\Registry Mechanic\RegMech.exe /H
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'Default user')
O4 - Global Startup: EPSON Background Monitor.lnk = C:\Programme\EPSON\ESM2\Stms.exe
O4 - Global Startup: T-COM WLAN Manager T-Sinus 154data.lnk = C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe
O4 - Global Startup: Verknüpfung mit svchost.lnk = C:\WINDOWS\system32\svchost.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {31435657-9980-0010-8000-00AA00389B71} () - http://download.microsoft.com/download/e/2/f/e2fcec4b-6c8b-48b7-adab-ab9c403a978f/wvc1dmo.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1194301642281
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1194301629953
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Components\11\OWC11.DLL
O18 - Filter: text/xml - {807553E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL
O20 - Winlogon Notify: bmjtkzfz - C:\WINDOWS\system32\bmjtkzfz.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\EPSON\ESM2\eEBSvc.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


--
End of file - 9804 bytes

-- File Associations -----------------------------------------------------------

.reg - regfile - shell\open\command - regedit.exe "%1" %*
.scr - scrfile - shell\open\command - "%1" %*


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R0 TPkd - c:\windows\system32\drivers\tpkd.sys <Not Verified; PACE Anti-Piracy, Inc.; InterLok(R)>
R0 VOBID - c:\windows\system32\drivers\vobid.sys <Not Verified; Pinnacle Systems; InstantDrive>
R1 Cdrdrv - c:\windows\system32\drivers\cdrdrv.sys <Not Verified; VOB Computersysteme GmbH; InstantWrite>
R1 ssmdrv - c:\windows\system32\drivers\ssmdrv.sys <Not Verified; AVIRA GmbH; >
R1 StarOpen - c:\windows\system32\drivers\staropen.sys
R1 vobcom - c:\windows\system32\drivers\vobcom.sys <Not Verified; VOB Computersysteme GmbH; InstantWrite>
R1 vobiw - c:\windows\system32\drivers\vobiw.sys <Not Verified; VOB Computersysteme GmbH; InstantWrite>
R3 ASAPIW2K - c:\windows\system32\drivers\asapiw2k.sys <Not Verified; VOB Computersysteme GmbH; asapi>
R3 DT154_A02 (T-Sinus 154data Driver) - c:\windows\system32\drivers\ts154usb.sys <Not Verified; GlobespanVirata, Inc.; PRISM 802.11 Wireless LAN>
R3 MACNDIS5 (MACNDIS5 NDIS Protocol Driver) - c:\programme\gemeinsame dateien\marmiko shared\macndis5.sys <Not Verified; Marmiko IT-Solutions GmbH; Marmiko NDis Helper for Windows>
R3 pcouffin (VSO Software pcouffin) - c:\windows\system32\drivers\pcouffin.sys <Not Verified; VSO Software; Patin couffin engine>
R3 w32n5223 (w32n5223 Protocol Driver) - c:\programme\t-com\t-com wlan manager t-sinus 154data\installer\winxp\w32n5223.sys <Not Verified; Deutsche Telekon; W32N5223 Protocol for Windows>

S3 ATE_PROCMON - c:\programme\anti trojan elite\atepmon.sys (file missing)
S3 giveio - c:\windows\system32\giveio.sys
S3 Hmr05 - c:\windows\system32\drivers\hmr05.sys (file missing)
S3 Jot61 - c:\windows\system32\drivers\jot61.sys (file missing)
S3 MIINPazX (MIINPazX NDIS Protocol Driver) - c:\programme\gemeinsame dateien\marmiko shared\minfrais\miinpazx.sys <Not Verified; T-Online International AG, Marmiko IT-Solutions GmbH; Marmiko InfraIS Module>
S3 MTOnlPktAlyX (MTOnlPktAlyX NDIS Protocol Driver) - c:\programme\t-online\t-online_software_6\basis-software\basis1\mtonlpktalyx.sys <Not Verified; T-Online International AG, Marmiko IT-Solutions GmbH; T-Online Dialer Module>
S3 Oty15 - c:\windows\system32\drivers\oty15.sys (file missing)
S3 Sxe27 - c:\windows\system32\drivers\sxe27.sys (file missing)
S3 Syd15 - c:\windows\system32\drivers\syd15.sys (file missing)
S3 Uaf37 - c:\windows\system32\drivers\uaf37.sys (file missing)
S3 Xej27 - c:\windows\system32\drivers\xej27.sys (file missing)
S3 Yej38 - c:\windows\system32\drivers\yej38.sys (file missing)


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 AntiVirScheduler (AntiVir PersonalEdition Classic Planer) - "c:\programme\avira\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; AntiVir Workstation>
R2 Apple Mobile Device - "c:\programme\gemeinsame dateien\apple\mobile device support\bin\applemobiledeviceservice.exe" <Not Verified; Apple, Inc.; Apple Mobile Device Service>
R2 Bonjour Service (##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762##) - c:\programme\bonjour\mdnsresponder.exe <Not Verified; Apple Computer, Inc.; Bonjour>
R2 CCALib8 (Canon Camera Access Library 8) - c:\programme\canon\cal\calmain.exe <Not Verified; Canon Inc.; >
R2 EpsonBidirectionalService - c:\programme\epson\esm2\eebsvc.exe
R2 MZCCntrl (T-Online WLAN Adapter Steuerungsdienst) - c:\programme\gemeinsame dateien\marmiko shared\mzccntrl.exe <Not Verified; Deutsche Telekom AG, Marmiko IT-Solutions GmbH; T-Online WLAN Adapter Steuerung>

S3 FLEXnet Licensing Service - "c:\programme\gemeinsame dateien\macrovision shared\flexnet publisher\fnplicensingservice.exe" <Not Verified; Macrovision Europe Ltd.; FLEXnet Publisher (32 bit)>


-- Device Manager: Disabled ----------------------------------------------------

Class GUID:
Description: Ethernet-Controller
Device ID: PCI\VEN_10DE&DEV_0066&SUBSYS_80A71043&REV_A1\3&13C0B0C5&0&20
Manufacturer:
Name: Ethernet-Controller
PNP Device ID: PCI\VEN_10DE&DEV_0066&SUBSYS_80A71043&REV_A1\3&13C0B0C5&0&20
Service:

Class GUID:
Description: RAID-Controller
Device ID: PCI\VEN_1095&DEV_3112&SUBSYS_61121095&REV_02\4&3B1D9AB8&1&5840
Manufacturer:
Name: RAID-Controller
PNP Device ID: PCI\VEN_1095&DEV_3112&SUBSYS_61121095&REV_02\4&3B1D9AB8&1&5840
Service:

Class GUID: {4D36E97E-E325-11CE-BFC1-08002BE10318}
Description: Ethernet-Controller
Device ID: PCI\VEN_10B7&DEV_9201&SUBSYS_80AB1043&REV_40\4&35344E25&0&0860
Manufacturer:
Name: Ethernet-Controller
PNP Device ID: PCI\VEN_10B7&DEV_9201&SUBSYS_80AB1043&REV_40\4&35344E25&0&0860
Service:


-- Scheduled Tasks -------------------------------------------------------------

2008-06-15 01:49:33 276 --a------ C:\WINDOWS\Tasks\AppleSoftwareUpdate.job


-- Files created between 2008-07-17 and 2008-08-17 -----------------------------

2008-08-16 13:05:00 0 d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-16 00:19:01 0 d-------- C:\Programme\Anti-Trojan-55
2008-08-15 20:50:06 0 d-------- C:\Programme\Anti Trojan Cow
2008-08-15 20:49:53 290816 -----n--- C:\WINDOWS\Setup1.exe <Not Verified; Microsoft Corporation; Microsoft Visual Basic für Windows>
2008-08-15 20:49:52 74752 --a------ C:\WINDOWS\ST6UNST.EXE <Not Verified; Microsoft Corporation; Microsoft® Visual Basic für Windows>
2008-08-15 20:23:19 0 d-------- C:\Programme\Anti Trojan Elite
2008-08-15 14:34:04 0 d-------- C:\Programme\a-squared Free
2008-08-15 13:16:17 0 dr-h----- C:\Dokumente und Einstellungen\Gaby & Frank\Recent
2008-08-06 22:48:15 4212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-08-06 22:47:28 0 d-------- C:\WINDOWS\Internet Logs
2008-08-06 00:02:12 3596288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2008-08-05 23:59:04 196608 --a------ C:\WINDOWS\system32\dtu100.dll <Not Verified; DivX, Inc.; DivX, Inc. dtu100>
2008-08-05 23:59:04 81920 --a------ C:\WINDOWS\system32\dpl100.dll <Not Verified; DivX, Inc.; DivX, Inc. dpl100>
2008-08-05 23:58:58 802816 --a------ C:\WINDOWS\system32\divx_xx11.dll <Not Verified; DivX, Inc.; DivX?>
2008-08-05 23:58:58 823296 --a------ C:\WINDOWS\system32\divx_xx0c.dll <Not Verified; DivX, Inc.; DivX®>
2008-08-05 23:58:58 815104 --a------ C:\WINDOWS\system32\divx_xx0a.dll <Not Verified; DivX, Inc.; DivX®>
2008-08-05 23:58:58 823296 --a------ C:\WINDOWS\system32\divx_xx07.dll <Not Verified; DivX, Inc.; DivX®>
2008-08-05 23:58:56 683520 --a------ C:\WINDOWS\system32\DivX.dll <Not Verified; DivX, Inc.; DivX®>
2008-08-05 23:58:14 12288 --a------ C:\WINDOWS\system32\DivXWMPExtType.dll


-- Find3M Report ---------------------------------------------------------------

2008-08-16 13:05:05 0 d-------- C:\Dokumente und Einstellungen\Gaby & Frank\Anwendungsdaten\Malwarebytes
2008-08-16 00:11:29 8 --a------ C:\autoexec.bat
2008-08-15 13:16:12 0 d-------- C:\Programme\DivX
2008-06-24 23:54:05 0 d--h----- C:\Programme\InstallShield Installation Information
2008-06-24 23:54:05 0 d-------- C:\Programme\Gemeinsame Dateien\Marmiko Shared
2008-06-24 23:47:09 0 d-------- C:\Programme\Gemeinsame Dateien
2008-06-24 23:44:10 57182 --a------ C:\WINDOWS\system32\NULL
2008-06-24 23:01:42 0 d-------- C:\Programme\T-Online
2008-05-23 23:57:28 3997 --a------ C:\WINDOWS\mozver.dat


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nForce Tray Options"="sstray.exe" [13.11.2002 09:34 C:\WINDOWS\system32\sstray.exe]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [17.11.2003 11:33]
"nwiz"="nwiz.exe" [17.11.2003 11:33 C:\WINDOWS\system32\nwiz.exe]
"IW_ControlCenter"="C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe" [21.02.2003 11:27]
"VOBID"="C:\Programme\Pinnacle\InstantCDDVD\\InstantDrive\InstantDrive.exe" [26.02.2003 13:31]
"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [28.02.2003 17:46]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [11.05.2007 04:06]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [29.07.2008 01:12]
"SSC Service Utility"="C:\Programme\SSC Service Utility\ssc_serv.exe" [09.10.2007 13:55]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [13.04.2008 14:01]
"Glock Suite 1.1"="C:\WINDOWS\system32\glock32.exe" [04.08.2004 01:58]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [27.05.2008 10:50]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [02.06.2008 11:13]
"Anti Trojan Elite"="C:\Programme\Anti Trojan Elite\TJEnder.exe" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [04.08.2004 01:57]
"MSMSGS"="C:\Programme\Messenger\MSMSGS.exe" [04.08.2004 01:58]
"NvMediaCenter"="C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit" []
"T-Online_Software_6\WLAN-Access Finder"="C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe" [25.07.2007 18:50]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [23.10.2007 23:18]
"AnyDVD"="C:\Programme\SlySoft\AnyDVD\AnyDVD.exe" [06.06.2007 00:25]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [11.11.2007 22:48]
"userinit"="C:\WINDOWS\system32\ntos.exe" []
"braviax"="C:\WINDOWS\system32\braviax.exe" []
"RegistryMechanic"="C:\Programme\Registry Mechanic\RegMech.exe" [08.07.2008 16:41]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"userinit"=C:\WINDOWS\system32\ntos.exe
"InfoCockpit"=C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
EPSON Background Monitor.lnk - C:\Programme\EPSON\ESM2\Stms.exe [03.12.1999 21:11:46]
T-COM WLAN Manager T-Sinus 154data.lnk - C:\Programme\T-COM\T-COM WLAN Manager T-Sinus 154data\Installer\WINXP\DTUSB11GMonitor.exe [25.09.2003 14:35:56]
Verkn�pfung mit svchost.lnk - C:\WINDOWS\system32\svchost.exe [02.04.2003 14:00:00]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\bmjtkzfz]
bmjtkzfz.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Hmr05.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Jot61.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Oty15.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Sxe27.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Syd15.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Uaf37.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Xej27.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Yej38.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"




-- Hosts -----------------------------------------------------------------------

127.0.0.1 microsoft.com
127.0.0.1 kaspersky.com
127.0.0.1 norton.com
127.0.0.1 multitrader.info
127.0.0.1 reggame.biz
127.0.0.1 tele-globus.biz
127.0.0.1 newasp.com.cn
127.0.0.1 mygolddinar.com
127.0.0.1 xfatum.com
127.0.0.1 think-adz2.com

7 more entries in hosts file.


-- End of Deckard's System Scanner: finished at 2008-08-17 20:09:14 ------------

Ok, prüf bitte, welche Größe die Dateien haben, die du mir geschickt hast.

Zu DSS:
Die Probleme haben sich gehäuft..
Das hier bitte schnellstens durchführen:


Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\ntos.exe
C:\WINDOWS\system32\braviax.exe
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

VirusTotal geht leider nicht: ausgelastet!

und die bravias.exe habe ich gar nicht!

Sorry, ich vergaß das zu erwähnen, das Virustotal momentan nicht geht.
Hast du die _ntos.exe_ gefunden?

Mach bitte noch folgendes:

• Öffne HijackThis
• Gehe in den Untermenü Open the misc tools section
• Scrolle runter bis zu Advanced Settings (...)
• Setze einen Haken bei Calculate MD5 of files if possible
• Starte HijackThis normal und poste das Logfile hier

mfg

Edit:

Zitat:

Ok, prüf bitte, welche Größe die Dateien haben, die du mir geschickt hast.

Unbedingt noch machen. Es betrifft die CPX-Dateien.

OK das Logfile ist im Anhang!

So,
bitte lies noch schnell das Edit: in meinem letzten Post und reiche das nach.

Die Dateien kannst du nicht finden, die existieren nicht mehr.
Das heißt, du hast schonmal versucht zu bereinigen.
Was du machen solltest, da du einen Schädling hattest, der Zugriff auf deinen Rechner ermöglicht und Bankdaten stiehlt:

• Alle Zugangsdaten und Passwörter von einem sauberen Rechner aus ändern
• Konten wie Homebanking/Onlinebanking, ebay, PayPal, etc. sperren lassen
• Kontakt zu deiner Bank aufnehmen

Für die Zukunft:
Finger von vermeintlicher Antivirensoftware wie Anti-Trojan etc. lassen!
Das ist Rogue Software und gibt vor, dir zu helfen - sind aber selber Schädlinge.
Es reicht, wenn du z.B. Avira installiert hast, als Firewall die XP eigene, am besten noch einen Router zulegen.

mfg

Ist das soo schlimm, dass ich alles sperren/ ändern muss? Ich habe meine Daten nicht auf dem PC gespeichert, sondern gebe sie jedes Mal per Hand ein! Kann ich es dann so lassen?
Übrigens ich verwende ienen Router hier.
Die CPX Dateien um die es geht sind irgendwie jetzt weg! Sie hatten eine Größe von ca 340 KB meine ich.
Kann ich das System jetz so lassen? Soll ich wirklich mein Online Banking Konto sperren lassen?

Ja, es ist leider so schlimm.
Es ist nicht nur das, auch diverse andere Sachen, die aber bei so einem Befall nebensächlich sind.

Klick mal auf den Link für die Technische Kompromittierung und lies dir das durch, dann weißt du, was dir wiederfahren ist.
Und überprüf deine Kontoauszüge, ob schon ungewollte Kontobewegungen stattgefunden haben, bzw. rede mit der Bank.

Noch was zu den CPX-Dateien.
Die wo bei mir angekommen waren, sind nicht virulent und jeweils 1 KB groß, deshalb wollte ich wissen, wie groß die originalen waren.

mfg

Ok, mach ich! Sag mal, wäre es besser ich würde auch die Platte formatieren und Windows neu installieren?