Hallo,

da ich bis jetzt noch nie Probleme mit Viren hatte und auch noch nie mit Trojanern, bin ich zugegebener Maßen etwas überfordert, weil ich in den letzten Tagen eine Fehlermeldung erhalten habe, die sich ausgeweitet hat. Ich habe bereits im Internet gesucht und zwei bis drei Threads gefunden, jedoch war das Problem ein wenig anders. Ich bin um Jede Hilfe dankbar und auch bereit, mich ein wenig einzuarbeiten.

Zunächst einmal bin ich vor ein paar Tagen statt mit Firefox über den Internet-Explorer ins Internet gegangen und hab dabei wahrscheinlich auf einen Link geklickt. Auf jeden Fall hat sich auf einmal ein Fenster aufgetan, dass ich Virusschlacht installieren solle. Zunächst habe ich dies nicht gemacht und hab mich zuerst über Virusschlacht informiert, schien aber nicht bedrohlich zu sein. Also habe ich Dummkopf es installiert. Fortan gab Avira AntiVir eine Problemmeldung aus, die sich jedoch im Laufe der Systemscans verändert hat:

Zunächst einmal habe ich: Trojanische Pferd TR/Crypt.Morphine.Gen

Und: TR/BHO.agz.32

Dabei zeigt Avira stets eine Fehlermeldung an, wenn ich einen Ordner öffne...


SPR/Fake.Syscontrol


Im Folgenden ist jetzt mein HJT-Report:



Logfile of HijackThis v1.99.1
Scan saved at 15:14:13, on 09.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\D-Tools\daemon.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\***\Desktop\HJ\HJs.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {6750D710-6725-4B33-8828-0DBE02DCD15B} - C:\WINDOWS\system32\advpackl.dll
O2 - BHO: (no name) - {713C33E7-1D2F-423C-94FD-2FBB4A355227} - c:\windows\system32\dhcpsapif.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\\nTune.exe" clear
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [c5mwpr2y] C:\WINDOWS\system32\c5mwpr2y.exe
O4 - HKLM\..\Run: [Salestart] "C:\Programme\Gemeinsame Dateien\VirusSchlacht\stmon.exe" dm=h**p://virusschlacht.com; ad=h**p://virusschlacht.com
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [c5mwpr2y] C:\WINDOWS\system32\c5mwpr2y.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Office-Bibliothek-Direktsuche.lnk = C:\Programme\Office-Bibliothek\PCLib.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - h**p://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: rgdfvbdz - C:\WINDOWS\SYSTEM32\dhcpsapif.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe



Ich hoffe, dass ich das Log insofern richtig geschrieben habe.

Vielen Dank und Verzeihung für eventuelle Fehler

PS: Soll ich auch noch die Avira-Reporte senden?

Ich muss noch etwas hinzufügen:

Ich habe die Datei dhcpsapif.dll noch bei Virustotal testen lassen. Ergebnis:

Obfustat.ADXW - bei AVG
VirTool:Win32/Obfuscator.Q - bei Microsoft
Suspicious File - bei Panda
Trojan Horse - bei Semantec
Trojan.Crypt.Morphine.Gen - bei Webwasher - Gateway


- vielen Dank für jede Antwort

Hallo FabianFischer und Willkommen!

Arbeite zunächst diese Punkte ab, damit wir einen besseren Überblick und mehr Informationen zu deinem System bekommen:


ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!


Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

C:\VundoFix Backups - löschen + Papierkorb leeren

Hallo Zusammen

Ich hatte bisher noch nie ein Problem mit Viren oder Trojaner. Aber seit gestern zeigt mir der Avira-Antivir bei jedem Ordneröffnen folgende Meldung an:

TR/Crypt.Morphine.Gen

Wenn ich löschen will, passiert überhaupt nichts. Ich bin wirklich unerfahren und habe überhaupt keine Ahnung, wie ich vorgehen soll.

Kann mir bitte jemand helfen? Wäre sehr froh