Hi

ich hoffe irgendjemand ist so nett und kann mir weiterhelfen. Habe selbst schon einiges versucht.

Am anfang bekam ich die meldung "Warning your system ist infekted" oder so ähnlich mit einem XP firewall ählichen symbol [habe Englishe XP auf dem PC]. Der erste fehler war interessanter weise irgendwas mit ntdll datei im Spybot resident. Habe dann Malwarebytes Anti-Malware installiert und laufen lassen. Danach dachte ich schon das er gekillt ist da dieses symbol nach dem neustart nicht mehr aufgetaucht ist.

Doch als ich Firefox benutzte wurde ich immer auf irgendwelche eigenartigen seiten weitergeleitet oder die seiten [unter anderem auch Google] gingen nicht auf weil sie nicht geladen werden konnten. Habe dann mit Hijack this einige eigenartige files wie BHO gelösht aber den Rundll32 konnte ich weder mit Malwarebytes noch mit hijack this Löschen. Ich poste mal den letzten Hijack this und Malwarebytes log und hoffe das jemand mir weiterhelfen kann.

Dachte das es der Virtuomonde wurm ist aber jetzt bin ich mir nicht sicher. AUsserdem verschiebt Malwarebytes die würmer in Quarantine anstelle sie zu löschen. Hier mal die letzten Malwarebytes und hijack this logs.

Hijack this:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:50:32, on 18.05.2009
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE
C:\Program Files\FreePDF_XP\fpassist.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\Common Files\Teleca Shared\Generic.exe
C:\Program Files\Sony Ericsson\Mobile\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\System32\cisvc.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\System32\taskmgr.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\cidaemon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
\?\globalroot\C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

O4 - HKLM\..\Run: [EPSON Stylus DX4800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Program Files\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [autochk] rundll32.exe C:\WINDOWS\system32\autochk.dll,_IWMPEvents@16
O4 - HKCU\..\Run: [NBJ] "C:\Program Files\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Cyrus\Local Settings\Application Data\Google\Update\1.1.17.0\GoogleUpdate.exe" /lang en
O4 - HKCU\..\Run: [autochk] rundll32.exe C:\DOCUME~1\Cyrus\protect.dll,_IWMPEvents@16
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: ChkDisk.dll (User 'SYSTEM')
O4 - .DEFAULT Startup: ChkDisk.dll (User 'Default user')
O4 - Startup: ChkDisk.dll
O4 - Startup: ChkDisk.lnk = ?
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{673D960D-3E02-4329-8E33-EBD260492F9A}: NameServer = 217.0.43.193 217.0.43.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{673D960D-3E02-4329-8E33-EBD260492F9A}: NameServer = 217.0.43.193 217.0.43.1
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 4401 bytes

Malwarebytes:

Malwarebytes' Anti-Malware 1.36
Database version: 2146
Windows 5.1.2600

18.05.2009 20:29:15
mbam-log-2009-05-18 (20-29-15).txt

Scan type: Quick Scan
Objects scanned: 80564
Time elapsed: 7 minute(s), 19 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 1
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 8

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Trojan.Agent) -> Quarantined and deleted successfully.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
C:\WINDOWS\system32\autochk.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\***\protect.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\ChkDisk.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\***\Start Menu\Programs\Startup\ChkDisk.lnk (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Documents and Settings\***\Local Settings\Temp\nsrbgxod.bak (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\nsrbgxod.bak (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\msb.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lmn_setup.exe (Trojan.Downloader) -> Quarantined and deleted successfully.


Und hier die daten in Malwarebytes Quarantine. Angeblich sollen die daten gelöscht sein aber irgendwie sind die immer noch da: [25 FIles]

C:\Documents and Settings\***\protect.dll
C:\Documents and Settings\***\Start Menu\Programs\Startup\ChkDisk.dll
C:\WINDOWS\Temp\nsrbgxod.bak
C:\WINDOWS\Temp\msb.dll
C:\WINDOWS\system32\autochk.dll
C:\WINDOWS\Temp\msb.dll
C:\WINDOWS\system32\autochk.dll
C:\WINDOWS\system32\lmn_setup.exe
C:\WINDOWS\Temp\nsrbgxod.bak
C:\Documents and Settings\***\protect.dll
C:\WINDOWS\system32\config\systemprofile\Start Menu\Programs\Startup\ChkDisk.dll (Trojan.Agent)
C:\WINDOWS\Temp\msb.dll
C:\Documents and Settings\***\Start Menu\Programs\Startup\ChkDisk.lnk (Trojan.FakeAlert)
C:\WINDOWS\Temp\nsrbgxod.bak
C:\WINDOWS\system32\autochk.dll
C:\Documents and Settings\***\Local Settings\Temp\nsrbgxod.bak (Trojan.Agent)
C:\Documents and Settings\***\Start Menu\Programs\Startup\ChkDisk.ink
C:\Documents and Settings\***\Start Menu\Programs\Startup\ChkDisk.dll
C:\WINDOWS\system32\lmn_setup.exe
C:\Documents and Settings\***\protect.dll

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Trojan.Agent)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Trojan.Agent)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Trojan.Agent)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\autochk (Trojan.Agent)

oK kann mir dann bitte jemand bei diesem problem helfen????
Hijach this gibt ein fragezeichen an. Was für ein problem kann das sein?


O17 - HKLM\System\CCS\Services\Tcpip\..\{673D960D-3E02-4329-8E33-EBD260492F9A}: NameServer = 217....
O17 - HKLM\System\CS1\Services\Tcpip\..\{673D960D-3E02-4329-8E33-EBD260492F9A}: NameServer = 217....

Ausserdem started neuerdings alg.exe. Ist das so in ordnung? Habe nämlich soweit alles bereinigt mit combofix und malwarebytes. Malwarebytes hat allerdings noch einiges in quarantine. Aber nach jetzigem durchsuchen sagt Malwarebytes das ich keine malware habe und combofix findet auch nux mehr. Werde noch zur sicherheit kaspersky downloaden und rüberlaufen lassen.

alg.exe ist nicht schlimm, die ist für dein internet verantwortlich.....

kennst du die ip 217.0.43.193? Die kommt aus Deutschland und gehört zur Telekom........

die datein aus der quarantäne in Malwarebytes kannst du über das programm löschen....