Hallo Trojaner-Board,

seit ca. zwei Wochen habe ich das Problem, dass während ich im Internet bin die Uploadrate drastisch steigt (Nach 10 Minuten habe ich 8MB hochgeladen!). Ich habe mit TCPView gemerkt, dass die mein Rechner Daten an Email Postfächer schickt. Das nervt ziemlich, da dadurch die Downloadrate ständig sinkt und ich auch keine Lust habe Spam in die Welt zu schleudern.

Desweiteren verlinkt Google mich bei einschlägigen Websites auf Werbeseiten oder andere.

Beispiel: Ich klicke per Google auf ein Wikipedia Eintrag und lande aber auf Genealogie.de. Bei andere Seiten lande ich zumeist auf Ebay oder Gedichte.de... Erst der zweite Versuch verlinkt mich dann auf die gewünschte Seite

Das nervt so ziemlich.

Meine PC Daten:
AMD Athlon XP 3800+
250GB
1GB DDR-Ram
Windows XP Media Center Service Pack 2

Hier noch mein Hijack Log:
Logfile of HijackThis v1.99.1
Scan saved at 16:32:40, on 26.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS2\System32\smss.exe
C:\WINDOWS2\system32\winlogon.exe
C:\WINDOWS2\system32\services.exe
C:\WINDOWS2\system32\lsass.exe
C:\WINDOWS2\system32\svchost.exe
C:\WINDOWS2\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS2\system32\spoolsv.exe
C:\WINDOWS2\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS2\ehome\ehtray.exe
C:\Programme\ScanSoft\OmniPage15.0\Opware15.exe
C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe
C:\WINDOWS2\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS2\eHome\ehRecvr.exe
C:\WINDOWS2\eHome\ehSched.exe
C:\Programme\M-Audio\Install\EvoInst.exe
C:\WINDOWS2\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS2\system32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS2\system32\svchost.exe
C:\WINDOWS2\system32\ZoneLabs\vsmon.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\WINDOWS2\system32\dllhost.exe
C:\Programme\ArcorOnline\AOButler.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\****\LOKALE~1\Temp\Rar$EX00.391\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.resimmania.com/hit2.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {B902021D-AA32-429C-9679-622A5B0B67DC} - C:\WINDOWS2\system32\syncengd.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O3 - Toolbar: MEGAUPLOADTOOLBAR - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programme\MegauploadToolbar\megauploadtoolbar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS2\ehome\ehtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS2\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] "RUNDLL32.EXE" C:\WINDOWS2\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Opware15] "C:\Programme\ScanSoft\OmniPage15.0\Opware15.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AAWTray] C:\Programme\Lavasoft\Ad-Aware 2007\AAWTray.exe
O4 - HKLM\..\Run: [errorcasthopebike] "C:\Dokumente und Einstellungen\All Users.WINDOWS2\Anwendungsdaten\GRIMDRAWERRORCAST\Flapheart.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS2\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [flag enc] C:\DOKUME~1\******\ANWEND~1\ACIDUP~1\birdskipidle.exe
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with Scansoft PDF Converter 3.0 - res://C:\Programme\ScanSoft\OmniPage15.0\PDFConverter3\IEShellExt.dll /100
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {233C1507-6A77-46A4-9443-F871F945D258} (Shockwave ActiveX Control) -
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} -
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://sayisalgrafik.com.tr/download/plugins/mguide6/mgaxctrl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1182026087531
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.5.0_05) -
O16 - DPF: {CAFEEFAC-0014-0002-0005-ABCDEFFEDCBA} (Java Plug-in 1.4.2_05) -
O16 - DPF: {CAFEEFAC-0015-0000-0005-ABCDEFFEDCBA} (Java Plug-in 1.5.0_05) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} -
O17 - HKLM\System\CCS\Services\Tcpip\..\{157B5823-5E05-4B0B-96AF-45AC90EBA736}: NameServer = 195.50.140.114 195.50.140.252
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: M-Audio Installer (EvoInstallerService) - Unknown owner - C:\Programme\M-Audio\Install\EvoInst.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS2\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - Unknown owner - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe (file missing)
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS2\system32\ZoneLabs\vsmon.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Programme\Windows Live\installer\WLSetupSvc.exe



PS: Ich hatte das Problem mit der falschen Verlinkung seitens Google schon mal, jedoch habe ich es dank einer Anleitung wieder weg bekommen. Dies mal klappt es aber nicht so...

Bitte um Hilfe.

Hallo.

Zitat:

seit ca. zwei Wochen habe ich das Problem, dass während ich im Internet bin die Uploadrate drastisch steigt (Nach 10 Minuten habe ich 8MB hochgeladen!). Ich habe mit TCPView gemerkt, dass die mein Rechner Daten an Email Postfächer schickt.

Hört sich nach nem Schädling an, der in die Welt spammt.

Zitat:

C:\WINDOWS2\

sieht nach einer verunglückten Windows-Neuinstallation aus. Hattest du vllt. schonmal wg. Befall das System neugemacht, dabei aber die Systempartition so belassen, anstatt zu formatieren?

C:\WINDOWS2\system32\syncengd.dll
C:\Dokumente und Einstellungen\All Users.WINDOWS2\Anwendungsdaten\GRIMDRAWERRORCAST\Flapheart.exe
C:\DOKUME~1\******\ANWEND~1\ACIDUP~1\birdskipidle.exe

Werte diese Dateien nacheinander bei Virustotal aus und poste die Ergebnisse.

Zitat:

Zitat:
C:\WINDOWS2\

sieht nach einer verunglückten Windows-Neuinstallation aus. Hattest du vllt. schonmal wg. Befall das System neugemacht, dabei aber die Systempartition so belassen, anstatt zu formatieren?

Ja, da hast du recht. Aber das war kein Viren befall, sondern der Rechner fuhr nicht mehr hoch.

Zitat:

C:\WINDOWS2\system32\syncengd.dll
C:\Dokumente und Einstellungen\All Users.WINDOWS2\Anwendungsdaten\GRIMDRAWERRORCAST\F lapheart.exe
C:\DOKUME~1\******\ANWEND~1\ACIDUP~1\birdskipidle. exe

Werte diese Dateien nacheinander bei Virustotal aus und poste die Ergebnisse.

Erstes Ergebnis für syncengd.dll:

Datei syncengd.dll empfangen 2007.09.27 09:53:19 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 23/32 (71.88%)
AhnLab-V3 2007.9.22.0 2007.09.24 -
AntiVir 7.6.0.15 2007.09.27 ADSPY/Bho.aa.1
Authentium 4.93.8 2007.09.27 W32/Downloader.MNI
Avast 4.7.1043.0 2007.09.26 Win32:Trojano-3384
AVG 7.5.0.488 2007.09.26 Collected.11.AD
BitDefender 7.2 2007.09.27 Trojan.BHO.WebPrefix.A
CAT-QuickHeal 9.00 2007.09.26 -
ClamAV 0.91.2 2007.09.26 AdWare.BHO-2
DrWeb 4.33 2007.09.27 -
eSafe 7.0.15.0 2007.09.23 -
eTrust-Vet 31.2.5168 2007.09.27 -
Ewido 4.0 2007.09.25 Trojan.BHO.b
FileAdvisor 1 2007.09.27 -
Fortinet 3.11.0.0 2007.09.27 Adware/KeenValue
F-Prot 4.3.2.48 2007.09.26 W32/Downloader.MNI
F-Secure 6.70.13030.0 2007.09.27 -
Ikarus T3.1.1.12 2007.09.27 AdWare.Win32.BHO.aa
Kaspersky 4.0.2.24 2007.09.27 not-a-virus:AdWare.Win32.BHO.aa
McAfee 5128 2007.09.26 potentially unwanted program Adware-KeenValue
Microsoft 1.2803 2007.09.27 BrowserModifier:Win32/KeenValuePerfectNav
NOD32v2 2554 2007.09.26 a variant of Win32/Adware.BHO.AA
Norman 5.80.02 2007.09.26 W32/BHO.X
Panda 9.0.0.4 2007.09.27 Adware/KeenValue
Prevx1 V2 2007.09.27 -
Rising 19.42.31.00 2007.09.27 Trojan.DL.Agent.kpx
Sophos 4.21.0 2007.09.27 Mapkon
Sunbelt 2.2.907.0 2007.09.26 -
Symantec 10 2007.09.27 Adware.Webprefix
TheHacker 6.2.6.072 2007.09.27 Adware/BHO.aa
VBA32 3.12.2.4 2007.09.26 suspected of Trojan-Downloader.Agent.47
VirusBuster 4.3.26:9 2007.09.26 Adware.BHO.JT
Webwasher-Gateway 6.0.1 2007.09.27 Ad-Spyware.Bho.aa.1

File size: 22859 bytes
MD5: 16ead58ebbfdbee557d23e512af3dc3f
SHA1: 5d200b9c9322c40547fb5ccbdce375e855a17305

Die beiden anderen Dateien sind auffindbar!
Ich habe diese beim letzten Befall dank einer Anleitung auf dieser Seite gelöscht. Anscheinend haben sie sich irgendwie wieder angeklinkt.

Ich hoffe die Daten reichen für eine Lösung

Ok. Die Datei kannst du schon mal versuchen zu löschen. WEnns nicht klappt, killen wir die später.
Führ mal bitte folgende Tools bzw. Anleitungen aus und poste die Logfiles:

- eScan
- Blacklight
- Silentrunners

Und mach bitte ein Filelist:

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

So, ich habe syncengd.dll im abgesicherten Modus entfernen können. Die Verlinkung auf Werbeseiten gehört nun der Vergangenheit an!!

Escan Protokoll:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: MINIMAL

eScan Version: 9.4.4
Sprache: German
Virus-Datenbank Datum: 9/27/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "netpumper Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "netpumper Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with flashget Unclassified ({a5366673-e8ca-11d3-9cd9-0090271d075b})! Action taken: Keine Aktion vorgenommen.
System found infected with killav.nbd Browser Hijacker ({e0e899ab-f487-11d5-8d29-0050ba6940e3})! Action taken: Keine Aktion vorgenommen.
System found infected with flashfxp Spyware/Adware ({e5a1691b-d188-4419-ad02-90002030b8ee})! Action taken: Keine Aktion vorgenommen.
System found infected with killav.nbd Browser Hijacker ({e0e899ab-f487-11d5-8d29-0050ba6940e3})! Action taken: Keine Aktion vorgenommen.
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen.
System found infected with ace club casino Spyware/Adware ({8ba2fe8d-8506-11d4-bfe2-cb5fed326646})! Action taken: Keine Aktion vorgenommen.
System found infected with ace club casino Spyware/Adware ({8ba2fe8f-8506-11d4-bfe2-cb5fed326646})! Action taken: Keine Aktion vorgenommen.
System found infected with ace club casino Spyware/Adware ({8ba2fe91-8506-11d4-bfe2-cb5fed326646})! Action taken: Keine Aktion vorgenommen.
System found infected with conducent flexpak Spyware/Adware (gpinstall.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with searchexe Spyware/Adware (sp.html)! Action taken: Keine Aktion vorgenommen.

System found infected with effective brand games toolbar Spyware/Adware (tbgame.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with coulomb dialer Spyware/Adware (loader.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with coulomb dialer Spyware/Adware (loader.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with coulomb dialer Spyware/Adware (loader.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with coulomb dialer Spyware/Adware (loader.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with coulomb dialer Spyware/Adware (loader.exe)! Action taken: Keine Aktion vorgenommen.

System found infected with effective brand games toolbar Spyware/Adware (tbgame.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with coulomb dialer Spyware/Adware (loader.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with coulomb dialer Spyware/Adware (loader.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with coulomb dialer Spyware/Adware (loader.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with coulomb dialer Spyware/Adware (loader.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with coulomb dialer Spyware/Adware (loader.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with kollah Trojan (C:\WINDOWS2\system32\ntos.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS2\SYSTEM32\KPROF infiziert von "Trojan-Proxy.Win32.Wopla.ag" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS2\SYSTEM32\POOF infiziert von "Trojan-Proxy.Win32.Wopla.ag" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS2\system32\koos.exe infiziert von "Trojan-Proxy.Win32.Wopla.ag" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS2\system32\kprof infiziert von "Trojan-Proxy.Win32.Wopla.ag" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS2\system32\ntos.exe infiziert von "Trojan-Spy.Win32.Zbot.r" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS2\system32\poof infiziert von "Trojan-Proxy.Win32.Wopla.ag" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\****\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\java.class-60adb7e5-471aa079.class infiziert von "Exploit.Java.Gimsh.a" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\****\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar\crtdcghcn.jar-2135ea2c-26b56563.zip/BaaaaBaa.class infiziert von "Exploit.Java.Gimsh.a" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\****\Eigene Dateien\Backup\Eigene Dateien\desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\Gemeinsame Dateien\Ahead\AudioPlugins\SELFDEL.EXE infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\msncon\mp3.hta infiziert von "Trojan-Downloader.VBS.Iwill.a" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{6226F0F9-A59D-4046-A076-B47A349FA422}\RP73\A0040913.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{6226F0F9-A59D-4046-A076-B47A349FA422}\RP73\A0040914.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{6226F0F9-A59D-4046-A076-B47A349FA422}\RP73\A0040916.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{6226F0F9-A59D-4046-A076-B47A349FA422}\RP73\A0046338.EXE infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{6226F0F9-A59D-4046-A076-B47A349FA422}\RP73\A0046339.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{6226F0F9-A59D-4046-A076-B47A349FA422}\RP73\A0048485.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{B5C54376-F5DC-4D0B-8730-40273769424D}\RP47\A0035511.exe infiziert von "Trojan-Spy.Win32.Bancos.aam" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS2\system32\koos.exe infiziert von "Trojan-Proxy.Win32.Wopla.ag" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS2\system32\kprof infiziert von "Trojan-Proxy.Win32.Wopla.ag" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS2\system32\ntos.exe infiziert von "Trojan-Spy.Win32.Zbot.r" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS2\system32\poof infiziert von "Trojan-Proxy.Win32.Wopla.ag" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS2\system32\perfts32.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.d". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\****\Eigene Dateien\Backup\Downloads\setup.exe//file4 markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\Downloads\mirc62.exe//stream//data0006 markiert als not-a-virus:Client-IRC.Win32.mIRC.62. Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{6226F0F9-A59D-4046-A076-B47A349FA422}\RP73\A0045927.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{6226F0F9-A59D-4046-A076-B47A349FA422}\RP73\A0046035.exe//data0001.bin markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{6226F0F9-A59D-4046-A076-B47A349FA422}\RP73\A0046054.exe//file4 markiert als "not-a-virus:AdTool.Win32.WhenU.a". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{6226F0F9-A59D-4046-A076-B47A349FA422}\RP73\A0047293.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{B5C54376-F5DC-4D0B-8730-40273769424D}\RP65\A0043294.dll markiert als "not-a-virus:AdWare.Win32.BHO.aa". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS2\system32\perfts32.dll//UPX markiert als "not-a-virus:AdWare.Win32.Stud.d". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS2\gpinstall.exe
Offending file found: C:\WINDOWS2\system32\ntos.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\****\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\****\Anwendungsdaten\netpumper
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\Software\netpumper !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 289485
Gefundene Viren: 175
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 429
Dauer des Scans bisher: 05:06:28
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 20:29:18,39
Batchende: 20:30:08,34


Blacklight Protokoll (Da habe ich die angegebenen Dateien schon unbenannt)

09/28/07 21:19:59 [Info]: BlackLight Engine 1.0.64 initialized
09/28/07 21:19:59 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/28/07 21:19:59 [Note]: 7019 4
09/28/07 21:19:59 [Note]: 7005 0
09/28/07 21:20:01 [Note]: 7006 0
09/28/07 21:20:01 [Note]: 7011 1832
09/28/07 21:20:01 [Note]: 7026 0
09/28/07 21:20:01 [Note]: 7026 0
09/28/07 21:20:01 [Note]: 7024 3
09/28/07 21:20:01 [Info]: Hidden process: C:\WINDOWS2\system32\koos.exe
09/28/07 21:20:03 [Note]: FSRAW library version 1.7.1022
09/28/07 21:28:02 [Info]: Hidden file: C:\WINDOWS2\system32\koos.exe
09/28/07 21:28:02 [Note]: 7002 0
09/28/07 21:28:02 [Note]: 7003 1
09/28/07 21:28:02 [Note]: 10002 1
09/28/07 21:28:02 [Info]: Hidden file: c:\WINDOWS2\system32\kprof
09/28/07 21:28:02 [Note]: 7002 0
09/28/07 21:28:02 [Note]: 7003 1
09/28/07 21:28:02 [Note]: 10002 1
09/28/07 21:28:03 [Info]: Hidden file: c:\WINDOWS2\system32\poof
09/28/07 21:28:03 [Note]: 7002 0
09/28/07 21:28:03 [Note]: 7003 1
09/28/07 21:28:03 [Note]: 10002 1
09/28/07 21:30:37 [Note]: 7007 0

PS: Aufgefallen ist mir: Nach der Umbenennung der Dateien die Blacklight ausfindig gemacht hat, sendet der PC nach Viewtcp (Tool unter Escan) keine Datenpackete mehr! Es scheint wohl das Problem gelöst zu haben!

Sry, aber das sieht alles andere als gut aus

Zitat:

Datei C:\WINDOWS2\system32\kprof infiziert von "Trojan-Proxy.Win32.Wopla.ag" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS2\system32\ntos.exe infiziert von "Trojan-Spy.Win32.Zbot.r" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS2\system32\poof infiziert von "Trojan-Proxy.Win32.Wopla.ag" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Dein System scheint von Backdoors und Rootkits übersäht zu sein, unmöglich zu sagen oder gar festzustellen wie viele noch da drin sind. Es steht wohl aber mit sehr hoher Wahrscheinlichkeit fest, dass da noch was ist.

Bereite dich auf eine Windows-Neuinstallation vor, sicher bereinigen kann man hier nichts mehr, nur die Symptome (werbung, Senden von Daten) sind weg.

Tu mir aber bitte vorher noch einen Gefallen. Die von Blacklight umbenannten Dateien müssten jetzt so oder so ähnlich heißen:

C:\WINDOWS2\system32\koos.exe.ren
c:\WINDOWS2\system32\kprof.ren
c:\WINDOWS2\system32\poof.ren

Werte die bitte bei Virustotal aus und poste sämtliche Ergebnisse inkl. Prüfsummen (md5/sha1).