Komischer Benutzername hat sich eingeschlichen.

Elch2001 · 28.08.2006, 23:59

Hallo!
Vor einigen wochen war mein Rechner von einem Virus befallen. keine ahnung woher. aber ich hatte einen gefunden.Mein System läuft auch wieder stabil. Doch ich habe noch ein kleines Problem.
Und zwar ist mir in dem Ordner "Dokumente und Einstellungen" ein Ordner aufgefallen, der den Namen "gNyMbWlsBqlASbPedp" trägt. Wenn ich ihn lösche, kommt der Ordner wieder. Ich habe bereitz danach gegooglt, konnte aber leider nichts darüber finden. Habe angst das mein Rechner noch von irgendwas befallen ist. wenn ich nun einen Virenscanner drüber fahren lass. Findet dieser nichts. auch Wochen später nichts. Hab den Antivir Personal Edition benutzt.
Auch "Ad-ware SE" findet nix großartiges.
Danke schon mal für eure mühen.
Mit freundlichen Grüßen
Christian Paulsen

System: Windows XP

Hier die Funde vom Viren Scanner damals.
Eigentlich kann das doch garnicht vom Virus kommen.

C:\RECYCLER\S-1-5-21-606747145-515967899-839522115-1003\Dc803.exe
[FUND] Ist das Trojanische Pferd TR/Dldr.Agent.akq.8
C:\WINDOWS\system32:voaa.dll
[FUND] Ist das Trojanische Pferd TR/Dldr.Small.JH.1
[INFO] Die Datei wurde gelöscht.
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\Temp\3F.tmp
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.FX.3
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\Temp\4.tmp
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.FX.3
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\Temp\5.tmp
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.FX.3
[INFO] Die Datei wurde gelöscht.
C:\WINDOWS\Temp\E.tmp
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.FX.3
[INFO] Die Datei wurde gelöscht.

Logfile of HijackThis v1.99.1
Scan saved at 01:14:04, on 29.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\NVIDIA\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\NVIDIA\NetworkAccessManager\bin\nSvcIp.exe
C:\WINDOWS\Logi_MwX.Exe
C:\Programme\QuickTime\qttask.exe
C:\NVIDIA\NetworkAccessManager\bin\nSvcLog.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\spiele\steam\steam.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Electronic Arts\EA Downloader\Core.exe
C:\WINDOWS\system32\rundll32.exe
C:\NVIDIA\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\****\LOKALE~1\Temp\Rar$EX00.406\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.krsmdtqnhnuwagq.com/VzcO70ky8e47QjfccUs9cM10fWr86AKkR9nh_nAVV_B4VDnk8BjEkcQkc_jLk7v2.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.chat4free.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\WINDOWS\PCHEALTH\HELPCTR\System\panels\blank.htm
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Class - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - C:\Programme\LinkOptimizer\LinkOptimizer.dll (file missing)
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\spiele\steam\steam.exe" -silent
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [EA Core] C:\Programme\Electronic Arts\EA Downloader\Core.exe -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - h**p://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - h**p://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - h**p://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3ADB3F65-3331-4473-BC33-DB293BF011FE}: NameServer = 192.168.0.1
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\NVIDIA\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\NVIDIA\NetworkAccessManager\bin\nSvcIp.exe
O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\NVIDIA\NetworkAccessManager\bin\nSvcLog.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Yopie · 29.08.2006, 00:08

Zitat:

Zitat von Elch2001

Hallo!
Und zwar ist mir in dem Ordner "Dokumente und Einstellungen" ein Ordner aufgefallen, der den Namen "gNyMbWlsBqlASbPedp" trägt. Wenn ich ihn lösche, kommt der Ordner wieder. Ich habe bereitz danach gegooglt, konnte aber leider nichts darüber finden. Habe angst das mein Rechner noch von irgendwas befallen ist. wenn ich nun einen Virenscanner drüber fahren lass. Findet dieser nichts.

Das ist nicht normal, und das ist in der Tat ein Zeichen dafür, dass der Rechner noch von "irgendwas" befallen ist.

Mein Rat: Formatieren und neu aufsetzen, um diese Unsicherheit definitiv loszuwerden! Halte dich dazu an die Anleitung im Anleitungsforum!

Gruß

Yopie

Elch2001 · 29.08.2006, 00:24

Hallo!
Danke. aber genau das will ich ja gerne verhindern.
Platt machen kann ich den immer. Aber ich weiss ja nicht wo der Virus her kam. Insofern könnt ich ja alles umsonst machen. Und nachher is der Rechner wieder infiziert.

.... Ja ich habs schon gelesen.. werd mich wohl nicht gegen eine Neuinstallation währen können ;-(
Weil wegen Malware manipuliert das System usw. denn muss ich wohl alles runterbrennen.
Und das System nochmal sicher installieren... Oder ?

Yopie · 29.08.2006, 00:31

Zitat:

Zitat von Elch2001

Platt machen kann ich den immer. Aber ich weiss ja nicht wo der Virus her kam. Insofern könnt ich ja alles umsonst machen. Und nachher is der Rechner wieder infiziert.

Das kann ich nachvollziehen. Im dem HJT-Logfile finde ich nichts besonders aussergewöhnliches, aber ich bin da nicht so der Held.

Vielleicht findet ein eScan mehr? Siehe Signatur, auch den Hinweis zur "find.bat" berücksichtigen!

Gruß

Yopie

Komischer Benutzername hat sich eingeschlichen.

Plagegeister aller Art und deren Bekämpfung: Komischer Benutzername hat sich eingeschlichen.