Hallo Ihr Comuterwissenden,

ich habe ein Problem mit Maleware / Viren / Trojanern und bitte dringend um Hilfe.
Und zwar war bei mir zunächst das Hintergrundbild verschwunden und auch in der Systemsteuerung/Anzeige einige Registerblätter, u.a. das, wo man das Hintergrundbild wieder einstellen kann.
Der Bildschirm war mit einemmal blau mit Fehlermeldungen (weiß in englisch).
Mit Esc kam der Desktop zurück und alles funktionierte scheinbar einwandfrei.

Seit vielen Monaten habe ich Antivir installiert und dieser hat auch einige Trojaner detektiert, und gelöscht. Einer (TR/Agent.aawu.2) hat sich dabei über 1.000 mal wiederhergestellt, bis er platt war.
Auch HJT habe ich laufen lassen und Malwarebytes-Antimaleware.
Danach war mein Hintergrundbild wieder da und auch alle Register. Allerdings funktioniert mein ACDSee auch nach Neuinstallation nicht mehr und Excel bringt beim Öffnen und Schließen eine Fehlermeldung. Weitere Probleme habe ich noch nicht festgestellt.

Seit dem Trojaner-Fund habe ich das Internet gekappt und bis jetzt auch nicht wieder verbunden. Das hier schreibe ich von einem anderen Computer aus.
Das Antivir findet jetzt keine infizierten Dateien mehr, nur die C:\pagefile.sys kann es nicht öffnen / prüfen.
Meine Firewall (Fritzbox) hat mir gestern 2 eigenständige Zugriffsversuche auf das Internet durch Öffnen eines Ports gemeldet:
C:\Windows\System32\alg.exe und
C:\Windows\System32\svchost.exe

Ich denke, das war das wichtigste in Kürze - weitere Infos könnt Ihr sicher aus den Log-Daten entnehmen.
Ich würde mich riesig freuen, wenn Ihr mir helfen könntet, wie ich den Rest jetzt auch noch loswerde und meine Programme wieder fehlerfrei ins Laufen bringe und die Trojaner demnächst vermeide !

Die Log-Datei von Malewarebytes stell ich Euch mal im Anschluß ein, die von Antivir ist so lang, daß ich einen neuen Text posten müßte (mach ich aber gern, wenn es benötigt wird):

>>>>>>>>>>>>>>>>>>>>>>>>>>><<<<<<<<<<<<<<<<<<<<<<<<<<<<<

Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1098
Windows 5.1.2600 Service Pack 2

19:15:46 30.08.2008
mbam-log-08-30-2008 (19-15-46).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 176776
Laufzeit: 49 minute(s), 13 second(s)

Infizierte Speicherprozesse: 7
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 10
Infizierte Registrierungswerte: 43
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 4
Infizierte Dateien: 29

Infizierte Speicherprozesse:
C:\WINDOWS\sv.exe (Trojan.Downloader) -> Unloaded process successfully.
C:\WINDOWS\wdmon.exe (Trojan.Downloader) -> Unloaded process successfully.
C:\WINDOWS\svc.exe (Trojan.Downloader) -> Unloaded process successfully.
C:\WINDOWS\winlogon.exe (Trojan.Agent) -> Unloaded process successfully.
C:\WINDOWS\svx.exe (Trojan.FakeAlert) -> Unloaded process successfully.
C:\WINDOWS\vlc.exe (Trojan.FakeAlert) -> Unloaded process successfully.
C:\WINDOWS\runsql.exe (Trojan.Agent) -> Unloaded process successfully.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Interface\{967a494a-6aec-4555-9caf-fa6eb00acf91} (Rogue.PestPatrol) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{9692be2f-eb8f-49d9-a11c-c24c1ef734d5} (Rogue.PestPatrol) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{a8954909-1f0f-41a5-a7fa-3b376d69e226} (Rogue.PestPatrol) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\altcompare (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\msvcl1.bhoapp (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\msvcl1.bhoapp.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\dnlsvc (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\hwclock (Worm.IRCBot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\msdirect (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\netsv32 (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wdmon (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\netc (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\net64 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\runsql (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\winlogon (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ddriver (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\alpha (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\beta (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\gamma (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\UpdateWin (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\UpdateWin (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\UpdateWin (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\UpdateWin (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\netx (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vlc (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PromoReg (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole\UpdateWin (Worm.Sdbot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Lsa\UpdateWin (Worm.Sdbot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\UpdateWin (Worm.Sdbot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\OLE\UpdateWin (Worm.Sdbot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\Lsa\UpdateWin (Worm.Sdbot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DriverCheck (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SystemDriverLoad (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SystemDriver (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\FDriver (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ADriver (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\DriverLoad (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\DriverLoad (Trojan.Clicker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\DriverCheck (Trojan.Clicker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\SystemDriverLoad (Trojan.Clicker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\winhost (Trojan.Clicker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\winhost1 (Trojan.Clicker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\winhost2 (Trojan.Clicker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\winhost3 (Trojan.Clicker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\winhost4 (Trojan.Clicker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\FDriver (Trojan.Clicker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\ADriver (Trojan.Clicker) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\SystemDriver (Trojan.Clicker) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.QHost) -> Data: c:\windows\system32\wowfx.dll -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Trojan.QHost) -> Data: system32\wowfx.dll -> Delete on reboot.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\WINDOWS\system32\append.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\xlib254.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\google.com (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\altcmd (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\sv.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\wdmon.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\svc.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\blphc9j9j0enba.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\~~~~~~~\Lokale Einstellungen\Temp\316588349.exe (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\~~~~~~~\Lokale Einstellungen\Temp\60325cahp25caa.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\~~~~~~~\Lokale Einstellungen\Temp\60325cahp25cab.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\~~~~~~~\Lokale Einstellungen\Temp\60325cahp25cac.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\~~~~~~~\Lokale Einstellungen\Temp\60325cahp25cad.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\~~~~~~~\Lokale Einstellungen\Temp\60325cahp25caf.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\~~~~~~~\Lokale Einstellungen\Temp\60325cahp25cag.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\~~~~~~~\Lokale Einstellungen\Temp\60325cahp25cah.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\~~~~~~~\Lokale Einstellungen\Temp\60325cahp25cai.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\~~~~~~~\Lokale Einstellungen\Temp\60325cahp25caq.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{071A1AA2-CC5A-4870-99DD-0B352BEE1184}\RP402\A0051861.EXE (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{071A1AA2-CC5A-4870-99DD-0B352BEE1184}\RP402\A0051864.EXE (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Programme\altcmd\altcmd.inf (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Programme\altcmd\uninstall.bat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\runsql.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\winlogon.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\svx.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\vlc.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wowfx.dll (Trojan.QHost) -> Delete on reboot.
C:\WINDOWS\crock+mock.config (Worm.Zhelatin) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\winsub.xml (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\svcp.csv (Malware.Trace) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\~~~~~~~\Anwendungsdaten\temp.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\~~~~~~~\Lokale Einstellungen\Temp\.tt1.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\~~~~~~~\Lokale Einstellungen\Temp\.tt8.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

Hi und

Du bist druch nen Rootkit und 4 Backdoor Trojaner verseucht...
Du solltest sofort Neuaufsetzen und alle deine Passwörter von einem sicheren PC aus ändern.

grüsse trojan-death

Danke für die Antwort !

Ist es denn nicht möglich, den Computer zu entseuchjen ohne die Festplatte platte platt zu machen ?
Und kopieren sich die Schädlinge auch auf andere Datenträger und Partitionen ?

Zitat:

Zitat von Kaju

Ist es denn nicht möglich, den Computer zu entseuchjen ohne die Festplatte platte platt zu machen ?

Wenn es möglich wäre, dann hätte ich dir ja nicht Neuaufsetzen geraten oder?
Hast du die Erklärungen dazu auf Wiki gelesen? Dann solltest du auch verstehen warum du nicht einfach ein bisschen Malware löschen kannst und alles wieder "Friede Freude Eierkuchen" ist...

grüsse trojan-death

OK - vielen Dank !
Dann werd ich das wohl tun müssen.
Aber nochmal zu meiner 2. Frage: Wenn ich Daten sichere, kann ich dann sicher sein, daß der Sicherungsdatenträger (DVD und USB-Stick) nicht auch verseucht werden und dann das neu eingerichtete System wieder infizieren ?

Zitat:

Zitat von Kaju

OK - vielen Dank !
Dann werd ich das wohl tun müssen.
Aber nochmal zu meiner 2. Frage: Wenn ich Daten sichere, kann ich dann sicher sein, daß der Sicherungsdatenträger (DVD und USB-Stick) nicht auch verseucht werden und dann das neu eingerichtete System wieder infizieren ?

Nein kannst du nicht:aplaus:
Je nachdem was du drauf speicherst... Ich würde wirklich nur sichern was du kennst und nicht einfach alle Ordner mit "copy/paste" sichern
Zum Thema Datensicherung stehen aber in der Anleitung zum Neuaufsetzen noch ein paar Sachen (glaube ich).

OK - eine letzte Frage noch:
reicht es aus, die Partition C (Systemlaufwerk) zu formatieren, oder muß alles platt gemacht werden ?

Grüße - Kaju