Der PC lahmt in letzter Zeit. Ebenso werden ohne jegliche Aktionen im Internet meinerseits hin und wieder Trojaner von Antivir gefunden.

Logfile of HijackThis v1.99.1
Scan saved at 21:32:49, on 02.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\msnmss.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Opera\Opera.exe
D:\Programme\OCRANA-IRC\mirc.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

F2 - REG:system.ini: Shell=Explorer.exe msnmss.exe
F3 - REG:win.ini: run=C:\WINDOWS\msnmss.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ICQ Lite] C:\WINDOWS\msnmss.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Windows Update] C:\WINDOWS\msnmss.exe
O4 - HKLM\..\Run: [msconfig] C:\WINDOWS\msnmss.exe
O4 - HKLM\..\Run: [Update Checker] C:\WINDOWS\msnmss.exe
O4 - HKLM\..\Run: [AntiVir] C:\WINDOWS\msnmss.exe
O4 - HKLM\..\Run: [] C:\WINDOWS\msnmss.exe
O4 - HKLM\..\RunServices: [Windows Update] C:\WINDOWS\msnmss.exe
O4 - HKLM\..\RunServices: [msconfig] C:\WINDOWS\msnmss.exe
O4 - HKLM\..\RunServices: [icq lite] C:\WINDOWS\msnmss.exe
O4 - HKLM\..\RunServices: [Update Checker] C:\WINDOWS\msnmss.exe
O4 - HKLM\..\RunServices: [AntiVir] C:\WINDOWS\msnmss.exe
O4 - HKLM\..\RunServices: [] C:\WINDOWS\msnmss.exe
O4 - HKLM\..\RunOnce: [Windows Update] C:\WINDOWS\msnmss.exe
O4 - HKLM\..\RunOnce: [msconfig] C:\WINDOWS\msnmss.exe
O4 - HKLM\..\RunOnce: [icq lite] C:\WINDOWS\msnmss.exe
O4 - HKLM\..\RunOnce: [Update Checker] C:\WINDOWS\msnmss.exe
O4 - HKLM\..\RunOnce: [AntiVir] C:\WINDOWS\msnmss.exe
O4 - HKLM\..\RunOnce: [] C:\WINDOWS\msnmss.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: PowerReg Scheduler.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) -
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Hallo und im Trojaner Board!


Das sieht nicht gut aus für dein System:


Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\msnmss.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)



Datenträgerbereinigung

Zum Starten des Dienstprogramms Datenträgerbereinigung klicke auf Start -> Programme -> Zubehör -> Systemprogramme und klicken anschließend auf Datenträgerbereinigung.
Lass die Partition bereinigen, auf dem dein Betriebssystem installiert ist!
(wird normalerweise automatisch erkannt!)


ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!


MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.



Gruß
Sunny

hier schon mal der online scan von Virus-Total
den rest deiner liste arbeite ich jetzt ab
Datenträgerbereinigung hab ich nciht, da ich windows-lite benutze

Complete scanning result of "msnmss.exe", received in VirusTotal at 07.02.2007, 22:06:35 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.7.2.0 07.02.2007 no virus found
AntiVir 7.4.0.37 07.02.2007 HEUR/Crypted
Authentium 4.93.8 07.02.2007 no virus found
Avast 4.7.997.0 07.02.2007 Win32:VB-BLW
AVG 7.5.0.476 07.02.2007 no virus found
BitDefender 7.2 07.02.2007 no virus found
CAT-QuickHeal 9.00 07.02.2007 no virus found
ClamAV devel-20070416 07.02.2007 no virus found
DrWeb 4.33 07.02.2007 no virus found
eSafe 7.0.15.0 06.30.2007 no virus found
eTrust-Vet 30.8.3758 07.02.2007 no virus found
Ewido 4.0 07.02.2007 no virus found
FileAdvisor 1 07.02.2007 no virus found
Fortinet 2.91.0.0 07.02.2007 no virus found
F-Prot 4.3.2.48 07.02.2007 no virus found
F-Secure 6.70.13030.0 07.02.2007 no virus found
Ikarus T3.1.1.8 07.02.2007 Backdoor.VB.EV
Kaspersky 4.0.2.24 07.02.2007 no virus found
McAfee 5065 07.02.2007 BackDoor-ASB
Microsoft 1.2701 07.02.2007 no virus found
NOD32v2 2370 07.02.2007 no virus found
Norman 5.80.02 07.02.2007 no virus found
Panda 9.0.0.4 07.02.2007 no virus found
Sophos 4.19.0 06.28.2007 no virus found
Sunbelt 2.2.907.0 06.29.2007 VIPRE.Suspicious
Symantec 10 07.02.2007 Backdoor.Trojan
TheHacker 6.1.6.141 07.02.2007 no virus found
VBA32 3.12.0.2 07.02.2007 no virus found
VirusBuster 4.3.23:9 07.02.2007 no virus found
Webwasher-Gateway 6.0.1 07.02.2007 Heuristic.Crypted

Aditional Information
File size: 1598083 bytes
MD5: cccca679e364e06bbd739692b71b59a2
SHA1: 44454a26538435fb0c6a65c5a7b25b10b6b816a8
packers: Themida
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.



COMBOFIX LOG
Eine Bereinigung konnte ich nicht durchführen, Combofix hat nur gescannt

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSharedDocuments"=1 (0x1)
"NoRecentDocsMenu"=1 (0x1)
"NoRecentDocsHistory"=1 (0x1)
"ClearRecentDocsOnExit"=1 (0x1)
"NoSMHelp"=1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSharedDocuments"=1 (0x1)
"NoInternetIcon"=0 (0x0)
"NoRecentDocsMenu"=1 (0x1)
"NoRecentDocsHistory"=1 (0x1)
"ClearRecentDocsOnExit"=1 (0x1)
"NoSMHelp"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Shell"="Explorer.exe msnmss.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalService LmHosts upnphost SSDPSRV
bthsvcs BthServ


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{63ef4c66-82ce-11db-83f7-0011d8550614}]
AutoRun\command- G:\autorun.exe


**************************************************************************

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-02 22:25:04
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\BTHPORT\Parameters\Services\{00001000-0000-1000-8000-00805f9b34fb}]


[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\BTHPORT\Parameters\Services\{00001105-0000-1000-8000-00805f9b34fb}]


[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\BTHPORT\Parameters\Services\{00001115-0000-1000-8000-00805f9b34fb}]


Completion time: 2007-07-02 22:25:42

--- E O F ---

eScan Log

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.9
Sprache: German
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "titanshield antispyware Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with powerreg scheduler Spyware/Adware (powerreg scheduler.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with powerreg scheduler Spyware/Adware (powerreg scheduler.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with powerreg scheduler Spyware/Adware (powerreg scheduler.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with rohbot Worm (C:\WINDOWS\system32\pskill.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei C:\WINDOWS\passview.dll markiert als not-a-virus:PSWTool.Win32.PassView.b. Keine Aktion vorgenommen.
Datei C:\WINDOWS\passview4.dll//UPX markiert als not-a-virus:PSWTool.Win32.MailPassView.130. Keine Aktion vorgenommen.
File C:\WINDOWS\system32\cmdow.exe markiert als "not-a-virus:RiskTool.Win32.HideWindows". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\pskill.exe markiert als "not-a-virus:RiskTool.Win32.PsKill.e". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\WINDOWS\passview.dll markiert als not-a-virus:PSWTool.Win32.PassView.b. Keine Aktion vorgenommen.
Datei C:\WINDOWS\passview4.dll//UPX markiert als not-a-virus:PSWTool.Win32.MailPassView.130. Keine Aktion vorgenommen.
File C:\WINDOWS\system32\cmdow.exe markiert als "not-a-virus:RiskTool.Win32.HideWindows". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\pskill.exe markiert als "not-a-virus:RiskTool.Win32.PsKill.e". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei D:\Programme\OCRANA-IRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.621. Keine Aktion vorgenommen.
File D:\Programme\OCRANA-IRC\programs\QuikLock.exe markiert als "not-a-virus:RiskTool.Win32.Locker.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\Dokumente und Einstellungen\Administrator\Startmenü\programme\autostart\powerreg scheduler.exe
Offending file found: C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\autostart\powerreg scheduler.exe
Offending file found: C:\Dokumente und Einstellungen\Administrator\Startmenü\Programme\Autostart\powerreg scheduler.exe
Offending file found: C:\WINDOWS\system32\pskill.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\sopcast\adv
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{63ef4c66-82ce-11db-83f7-0011d8550614} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 111531
Gefundene Viren: 18
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 67
Dauer des Scans bisher: 01:35:51
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 0:15:56,51
Batchende: 0:15:59,39


--------------------------------

Also laut Anzeige sind es 16 Viren, kann ich die nun ohne formatieren weg bekommen?

Hab jetzt leider keine Zeit, sehe mir aber dein Log nachher an.
(Mein Zahnarzt ruft...und ich kann den Bohrer schon hören. )

Sunny

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\passview.dll
C:\WINDOWS\passview4.dll/
C:\WINDOWS\system32\cmdow.exe
C:\WINDOWS\system32\pskill.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Du hast einen Trojaner im System der bei den meisten Anti-Virenherstellern nicht bekannt ist, man kann sehr wenig dazu sagen wie er arbeitet.
Was er aber definitiv anrichtet, ist eine Hintertür nach draussen aufzubauen.
Damit ist dein System Kompromittiert und nicht mehr dein eigenes.

Ich kann dir nur ans Herz legen dein System, sofern du es wieder in einen vertrauenswürdigen Zustand bringen willst, zu formatieren.

Eine Anleitung dazu findest du in meiner Signatur verlinkt.

Sorry,
Sunny