AntiVir meldet: Es wurden 8 VIren oder unerwünschte Programme gefunden

allezmg · 14.10.2007, 17:15

Hallo Forum,

eigentlich bin ich bis jetzt immer von größerem Übel verschont geblieben, jedoch meldet nun AntiVir bei der monatlichen Systemkontrolle "Es wurden 8 VIren oder unerwünschte Programme gefunden!"

Daher bitte ich um Eure Hilfe!

Hier ein Auszug aus dem Protokoll:
Beginne mit der Suche in 'C:\' <BOOT>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\U.exe
[FUND] Ist das Trojanische Pferd TR/PSW.Zbot.D.12
[INFO] Eine Sicherungskopie wurde unter dem Namen 4776f52c.qua erstellt ( QUARANTÄNE )
C:\Dokumente und Einstellungen\***\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\4776266b.qua
[FUND] Ist das Trojanische Pferd TR/PSW.Zbot.D.12
[INFO] Eine Sicherungskopie wurde unter dem Namen 4748f53c.qua erstellt ( QUARANTÄNE )
C:\Dokumente und Einstellungen\***\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\47762675.qua
[FUND] Ist das Trojanische Pferd TR/PSW.Zbot.D.12
[INFO] Eine Sicherungskopie wurde unter dem Namen 468b8e65.qua erstellt ( QUARANTÄNE )
C:\Dokumente und Einstellungen\***\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\4776f52c.qua
[FUND] Ist das Trojanische Pferd TR/PSW.Zbot.D.12
[INFO] Eine Sicherungskopie wurde unter dem Namen 4748f53e.qua erstellt ( QUARANTÄNE )
C:\System Volume Information\_restore{F46281DD-8EA4-4ECC-BE7B-60F8962ED634}\RP957\A0338254.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.R
[INFO] Eine Sicherungskopie wurde unter dem Namen 47451269.qua erstellt ( QUARANTÄNE )
C:\WINDOWS\Temp\2.tmp
[FUND] Ist das Trojanische Pferd TR/Agent.AFGS.9
[INFO] Eine Sicherungskopie wurde unter dem Namen 4786288c.qua erstellt ( QUARANTÄNE )
C:\WINDOWS\Temp\B.tmp
[FUND] Ist das Trojanische Pferd TR/Agent.AFGS.55
[INFO] Eine Sicherungskopie wurde unter dem Namen 4786288d.qua erstellt ( QUARANTÄNE )
C:\WINDOWS\Temp\C.tmp
[FUND] Ist das Trojanische Pferd TR/Spy.Agent.42496
[INFO] Eine Sicherungskopie wurde unter dem Namen 4646424e.qua erstellt ( QUARANTÄNE )
Beginne mit der Suche in 'D:\' <BACKUP>
Beginne mit der Suche in 'E:\' <RECOVER>

Dazu noch der HJ-Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:04:48, on 14.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Classic PhoneTools\CapFax.EXE
C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\DSLMON.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Dokumente und Einstellungen\***\Eigene Dateien\ws.js
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll (file missing)
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CapFax] C:\Programme\Classic PhoneTools\CapFax.EXE
O4 - HKLM\..\Run: [Agent] C:\Programme\Medion\PowerCinema\My_TV\Agent.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [2kadiras] 2kadiras.exe
O4 - HKLM\..\Run: [9xadiras] 9xadiras.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [AVAUTODELETE] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\AntiVir PersonalEdition Classic\UPGRADE\upgrade.exe" /restart
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [googletalk] C:\Programme\Google\Google Talk\googletalk.exe /autostart
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ6\ICQ.exe -minimize
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WinSweep] C:\Programme\WinSweep\WinSweep.Exe /AUTO
O4 - HKCU\..\Run: [WinSweep Popupblocker] C:\Programme\WinSweep\WSPopup.Exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: DSLMON.lnk = C:\Programme\AT-AR215\AT-AR215 USB ADSL WAN Adapter\DSLMON.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {36AF14E3-8E6A-413E-A01F-360900AD6802} - h**p://www.medionshop.de (file missing) (HKCU)
O12 - Plugin for .UVR: C:\Programme\Internet Explorer\Plugins\NPUPano.dll
O14 - IERESET.INF: START_PAGE_URL=h**p://www.medion.de
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA420053-3FC5-480E-BC5A-D5A3D20E78A3}: NameServer = 217.237.150.115 217.237.151.205
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 9030 bytes

Hm, ja jetzt wohl die üblichen Fragen: Wie konnte das plötzlich passieren und vor allem was soll ich jetzt tun?
Schönen Sonntag,
allezmg

cosinus · 14.10.2007, 22:35

Hallo.

Dich hat es anscheinend voll erwischt:

Code:

ATTFilter

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\ntos.exe

Werte mal die Datei

Code:

ATTFilter

C:\WINDOWS\system32\ntos.exe

online bei Virustotal aus - könnte sich um den Zbot handeln.

allezmg · 15.10.2007, 09:46

Datei ntdos.sys empfangen 2007.10.15 10:36:41 (CET)
Status: Beendet
Ergebnis: 0/32 (0%)

Datei ntdos.sys empfangen 2007.10.15 10:36:41 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.10.15.0 2007.10.15 -
AntiVir 7.6.0.23 2007.10.15 -
Authentium 4.93.8 2007.10.14 -
Avast 4.7.1051.0 2007.10.14 -
AVG 7.5.0.488 2007.10.15 -
BitDefender 7.2 2007.10.15 -
CAT-QuickHeal 9.00 2007.10.13 -
ClamAV 0.91.2 2007.10.14 -
DrWeb 4.44.0.09170 2007.10.15 -
eSafe 7.0.15.0 2007.10.10 -
eTrust-Vet 31.2.5207 2007.10.13 -
Ewido 4.0 2007.10.14 -
FileAdvisor 1 2007.10.15 -
Fortinet 3.11.0.0 2007.10.15 -
F-Prot 4.3.2.48 2007.10.15 -
F-Secure 6.70.13030.0 2007.10.15 -
Ikarus T3.1.1.12 2007.10.15 -
Kaspersky 7.0.0.125 2007.10.15 -
McAfee 5140 2007.10.12 -
Microsoft 1.2908 2007.10.15 -
NOD32v2 2591 2007.10.14 -
Norman 5.80.02 2007.10.12 -
Panda 9.0.0.4 2007.10.14 -
Prevx1 V2 2007.10.15 -
Rising 19.45.01.00 2007.10.15 -
Sophos 4.22.0 2007.10.15 -
Sunbelt 2.2.907.0 2007.10.13 -
Symantec 10 2007.10.15 -
TheHacker 6.2.8.091 2007.10.15 -
VBA32 3.12.2.4 2007.10.15 -
VirusBuster 4.3.26:9 2007.10.14 -
Webwasher-Gateway 6.0.1 2007.10.15 -
weitere Informationen
File size: 27914 bytes
MD5: 2460d981cc788207fed2c89df40be3e0
SHA1: 5ba8ac2da42c9caaff33da073591936cebd796c3

Hier die Auswertung bei Virustotal.

Vielen Dank cosinus für deine schnelle Antwort!
Die Datei C:\WINDOWS\system32\ntos.exe konnte ich nicht finden, daher habe ich ntos.sys genommen, war das richtig?
Die Auswertung interpretiere ich als Laie eher als positiv da nichts gefunden wurde, sehe ich das richtig?
Wie soll ich nun weiter vorgehen?

Gruß,
allezmg

15.10.2007, 09:56

*hust**hust*

Zitat:

[FUND] Ist das Trojanische Pferd TR/PSW.Zbot.D.12
[INFO] Eine Sicherungskopie wurde unter dem Namen 4776f52c.qua erstellt ( QUARANTÄNE )
C:\Dokumente und Einstellungen\***\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\4776266b.qua
[FUND] Ist das Trojanische Pferd TR/PSW.Zbot.D.12
[INFO] Eine Sicherungskopie wurde unter dem Namen 4748f53c.qua erstellt ( QUARANTÄNE )
C:\Dokumente und Einstellungen\***\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\47762675.qua
[FUND] Ist das Trojanische Pferd TR/PSW.Zbot.D.12
[INFO] Eine Sicherungskopie wurde unter dem Namen 468b8e65.qua erstellt ( QUARANTÄNE )
C:\Dokumente und Einstellungen\***\Anwendungsdaten\AntiVir PersonalEdition Classic\INFECTED\4776f52c.qua
[FUND] Ist das Trojanische Pferd TR/PSW.Zbot.D.12
[INFO] Eine Sicherungskopie wurde unter dem Namen 4748f53e.qua erstellt ( QUARANTÄNE )
C:\System Volume Information\_restore{F46281DD-8EA4-4ECC-BE7B-60F8962ED634}\RP957\A0338254.exe
[FUND] Ist das Trojanische Pferd TR/Spy.ZBot.R
[INFO] Eine Sicherungskopie wurde unter dem Namen 47451269.qua erstellt ( QUARANTÄNE )
C:\WINDOWS\Temp\2.tmp

allezmg, wir wollten die Auswertung der ntos.exe und nicht der ntdos.sys

Trojanerade · 15.10.2007, 10:13

Um versteckte Dateien sichtbar zu machen folge bitte dieser anleitung

--------------> http://tinyurl.com/ytpwon <-------

allezmg · 15.10.2007, 14:25

Oh, das ist mir aber peinlich.
Pardon, und danke für den Hinweis

Ich habe die Anleitung (Sichtbar machen versteckter Dateien) befolgt und dann den Dateinamen in die Suche eingegeben und auch selber noch einmal den Ordner C:\WINDOWS\system32\ durchgesucht, jedoch kann ich dort keine Datei namens ntos.exe finden können.
Die einzig ähnlich lautende Datei lautet ntoskrnl.exe.

Hilft das weiter?

EDIT: Wenn ich den Pfad einmal direkt bei Virustotal eingebe und nicht über durchsuchen kommt die Meldung "0 bytes size received / Se ha recibido un archivo vacio"
Bloß warum endeckt HJ dann die Datei?

AntiVir meldet: Es wurden 8 VIren oder unerwünschte Programme gefunden

Plagegeister aller Art und deren Bekämpfung: AntiVir meldet: Es wurden 8 VIren oder unerwünschte Programme gefunden