Antivirus XP2008 - ein weiterer betroffener :)

miezekatz · 20.09.2008, 12:34

Tach zusammen,

auch ich habe mir den antivirus xp 2008 eingefangen. habe nicht auf das pop-up geklickt, also auch nix installiert.
habe bereits ein paar scans durchgeführt, die in den anderen threads zu dem thema beschrieben wurden. habe die gefunden viren/trojaner was auch immer gelöscht.
meine frage ist nun, soll ich hijack, antivir, und antimalware report hier eintragen, damit ihr mir sagen könnt, ob alles weg ist, oder muss ich sowieso mein system neu aufsetzen? habe schon mehrfach gehört, dass das reine löschen solcher viren nichts bringt...

Phönixfeder · 21.09.2008, 08:25

ohje da haste dir wohl was übles eingefangen. Poste bitte die Logs von Antimalware, hijack und Antivir. Andernfalls können wir dir da leider nicht helfen.

myrtille · 21.09.2008, 11:15

Hehe,
ich darf vervollständigen? Die Anleitunngen findest du hier HijackThis und Malwarebytes und Antivir solltest du alleine schaffen.

Wir glauben an dich

lg myrtille

miezekatz · 22.09.2008, 14:42

Tag zusammen,

hier meine logs (ich poste mal bei Antivir und Malwarebytes auch die Logs vor Löschung der schädlichen Dateien, damit ihr wisst, was hier los war)

Antivir alt

Code:

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 15. September 2008  13:59

Es wird nach 1613566 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 2)  [5.1.2600]
Boot Modus:       Normal gebootet
Benutzername:     SYSTEM
Computername:     *

Versionsinformationen:
BUILD.DAT     : 8.1.0.331      16934 Bytes  12.08.2008 11:44:00
AVSCAN.EXE    : 8.1.4.7       315649 Bytes  19.07.2008 10:44:38
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  19.07.2008 10:44:38
LUKE.DLL      : 8.1.4.5       164097 Bytes  19.07.2008 10:44:39
LUKERES.DLL   : 8.1.4.0        12545 Bytes  19.07.2008 10:44:39
ANTIVIR0.VDF  : 6.40.0.0    11030528 Bytes  18.07.2007 14:27:15
ANTIVIR1.VDF  : 7.0.5.1      8182784 Bytes  24.06.2008 19:37:59
ANTIVIR2.VDF  : 7.0.6.153    3341312 Bytes  12.09.2008 15:53:55
ANTIVIR3.VDF  : 7.0.6.155      18944 Bytes  14.09.2008 18:48:37
Engineversion : 8.1.1.28  
AEVDF.DLL     : 8.1.0.5       102772 Bytes  27.04.2008 21:24:43
AESCRIPT.DLL  : 8.1.0.70      319866 Bytes  04.09.2008 10:05:01
AESCN.DLL     : 8.1.0.23      119156 Bytes  17.07.2008 10:20:38
AERDL.DLL     : 8.1.1.1       397683 Bytes  04.09.2008 10:05:00
AEPACK.DLL    : 8.1.2.1       364917 Bytes  17.07.2008 10:20:37
AEOFFICE.DLL  : 8.1.0.23      196987 Bytes  04.09.2008 10:04:57
AEHEUR.DLL    : 8.1.0.51     1397111 Bytes  04.09.2008 10:04:55
AEHELP.DLL    : 8.1.0.15      115063 Bytes  30.05.2008 08:56:06
AEGEN.DLL     : 8.1.0.36      315764 Bytes  18.08.2008 18:05:29
AEEMU.DLL     : 8.1.0.7       430452 Bytes  31.07.2008 16:33:54
AECORE.DLL    : 8.1.1.11      172406 Bytes  04.09.2008 10:04:49
AEBB.DLL      : 8.1.0.1        53617 Bytes  17.07.2008 10:20:36
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  19.07.2008 10:44:38
AVPREF.DLL    : 8.0.2.0        38657 Bytes  19.07.2008 10:44:38
AVREP.DLL     : 8.0.0.2        98344 Bytes  31.07.2008 16:33:51
AVREG.DLL     : 8.0.0.1        33537 Bytes  19.07.2008 10:44:38
AVARKT.DLL    : 1.0.0.23      307457 Bytes  27.04.2008 21:24:42
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  19.07.2008 10:44:38
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  27.04.2008 21:24:43
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  19.07.2008 10:44:39
NETNT.DLL     : 8.0.0.1         7937 Bytes  27.04.2008 21:24:43
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  19.07.2008 10:44:27
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  19.07.2008 10:44:28

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, 
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Montag, 15. September 2008  13:59

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexingService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AGRSMMSG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'reader_sl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPLpr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ibmpmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '41' Prozesse mit '41' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '58' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\.tt7E.tmp.vbs
    [FUND]      Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002
    [HINWEIS]   Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\nsn87.tmp\euladlg.dll
    [FUND]      Ist das Trojanische Pferd TR/FakeAV.AM
    [HINWEIS]   Die Datei wurde gelöscht.
C:\WINDOWS\system32\drivers\sptd.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Montag, 15. September 2008  14:59
Benötigte Zeit:  1:00:04 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

   7391 Verzeichnisse wurden überprüft
 311733 Dateien wurden geprüft
      5 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      5 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      3 Dateien konnten nicht durchsucht werden
 311725 Dateien ohne Befall
   1563 Archive wurden durchsucht
      3 Warnungen
      5 Hinweise

Antivir neu:

Code:

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Montag, 22. September 2008  14:52

Es wird nach 1627593 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 2)  [5.1.2600]
Boot Modus:       Normal gebootet
Benutzername:     SYSTEM
Computername:     *

Versionsinformationen:
BUILD.DAT     : 8.1.0.331      16934 Bytes  12.08.2008 11:44:00
AVSCAN.EXE    : 8.1.4.7       315649 Bytes  19.07.2008 10:44:38
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  19.07.2008 10:44:38
LUKE.DLL      : 8.1.4.5       164097 Bytes  19.07.2008 10:44:39
LUKERES.DLL   : 8.1.4.0        12545 Bytes  19.07.2008 10:44:39
ANTIVIR0.VDF  : 6.40.0.0    11030528 Bytes  18.07.2007 14:27:15
ANTIVIR1.VDF  : 7.0.5.1      8182784 Bytes  24.06.2008 19:37:59
ANTIVIR2.VDF  : 7.0.6.153    3341312 Bytes  12.09.2008 15:53:55
ANTIVIR3.VDF  : 7.0.6.191     227840 Bytes  22.09.2008 10:15:23
Engineversion : 8.1.1.34  
AEVDF.DLL     : 8.1.0.5       102772 Bytes  27.04.2008 21:24:43
AESCRIPT.DLL  : 8.1.0.76      319867 Bytes  18.09.2008 19:51:11
AESCN.DLL     : 8.1.0.23      119156 Bytes  17.07.2008 10:20:38
AERDL.DLL     : 8.1.1.2       438644 Bytes  18.09.2008 19:51:08
AEPACK.DLL    : 8.1.2.1       364917 Bytes  17.07.2008 10:20:37
AEOFFICE.DLL  : 8.1.0.25      196986 Bytes  18.09.2008 19:51:03
AEHEUR.DLL    : 8.1.0.59     1438071 Bytes  18.09.2008 19:51:01
AEHELP.DLL    : 8.1.0.15      115063 Bytes  30.05.2008 08:56:06
AEGEN.DLL     : 8.1.0.36      315764 Bytes  18.08.2008 18:05:29
AEEMU.DLL     : 8.1.0.7       430452 Bytes  31.07.2008 16:33:54
AECORE.DLL    : 8.1.1.11      172406 Bytes  04.09.2008 10:04:49
AEBB.DLL      : 8.1.0.1        53617 Bytes  17.07.2008 10:20:36
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  19.07.2008 10:44:38
AVPREF.DLL    : 8.0.2.0        38657 Bytes  19.07.2008 10:44:38
AVREP.DLL     : 8.0.0.2        98344 Bytes  31.07.2008 16:33:51
AVREG.DLL     : 8.0.0.1        33537 Bytes  19.07.2008 10:44:38
AVARKT.DLL    : 1.0.0.23      307457 Bytes  27.04.2008 21:24:42
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  19.07.2008 10:44:38
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  27.04.2008 21:24:43
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  19.07.2008 10:44:39
NETNT.DLL     : 8.0.0.1         7937 Bytes  27.04.2008 21:24:43
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  19.07.2008 10:44:27
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  19.07.2008 10:44:28

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, 
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Montag, 22. September 2008  14:52

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexStoreSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMIndexingService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'mDNSResponder.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NMBgMonitor.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'fpassist.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AGRSMMSG.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPLpr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ibmpmsvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '40' Prozesse mit '40' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '60' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\.tt83.tmp
    [FUND]      Ist das Trojanische Pferd TR/Drop.Age.1616607
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '494b96c2.qua' verschoben!
C:\WINDOWS\system32\drivers\sptd.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Montag, 22. September 2008  15:27
Benötigte Zeit: 35:35 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

   6653 Verzeichnisse wurden überprüft
 190120 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      3 Dateien konnten nicht durchsucht werden
 190116 Dateien ohne Befall
   1363 Archive wurden durchsucht
      3 Warnungen
      1 Hinweise

malwarebytes alt:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1154
Windows 5.1.2600 Service Pack 2

15.09.2008 13:55:21
mbam-log-2008-09-15 (13-55-21).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 115334
Laufzeit: 38 minute(s), 5 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 7
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 13

Infizierte Speicherprozesse:
C:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.

Infizierte Speichermodule:
C:\WINDOWS\system32\blphclw4j0ec25.scr (Trojan.FakeAlert) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphclw4j0ec25 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\inrhcgw4j0ec25 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\drivers\svchost.exe (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\blphclw4j0ec25.scr (Trojan.FakeAlert) -> Delete on reboot.
C:\WINDOWS\system32\lphclw4j0ec25.exe (Trojan.FakeAlert) -> Delete on reboot.
C:\WINDOWS\system32\phclw4j0ec25.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\*\Lokale Einstellungen\Temp\.tt83.tmp.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

malwarebytes neu:

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1190
Windows 5.1.2600 Service Pack 2

22.09.2008 14:50:17
mbam-log-2008-09-22 (14-50-17).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 106930
Laufzeit: 47 minute(s), 43 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

miezekatz · 22.09.2008, 14:43

hijackthis:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:29:28, on 22.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Secunia PSI (RC3).lnk = C:\Programme\Secunia\PSI (RC3)\psi.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Programme\Bonjour\ExplorerPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2DAD3559-2923-4935-AD49-B673D2539944} (IASRunner Class) - h**ps://www-307.ibm.com/pc/support/access/aslibmain/content/AcpIR.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1202682360550
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: IBM PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe

--
End of file - 7632 bytes

Besten Dank schonmal

miezekatz · 27.09.2008, 17:08

Oha, hab gerade gesehen dass ich eine Warnung bekommen habe, weil ich Angaben vergessen habe...deswegen antwortet mir wohl keiner

Also mein Betriebssystem ist Windows XP. Fehlen sonst noch Angaben??
Es wäre wirklich super, wenn mir jemand helfen kann, ich habe die ganze Zeit Angst, meinen Laptop zu benutzen

myrtille · 27.09.2008, 17:11

Hi,

normalerweise bearbeitet die Person, die zuerst Hilfe leistet das Thema auch bis zum Ende. Phönixfeder scheint sich allerdings endgültig verabschiedet zu habe und nicht wiederzukommen. :/

Erstelle bitte ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien hier. (Wenn die Dateien zu lange sind kannst du sie bei file-upload hochladen und die Links hier posten.)

lg myrtille

miezekatz · 27.09.2008, 17:47

Hey,
Danke schonmal für deine Antwort!

Hier sind die beiden Logs:

http://www.file-upload.net/download-1141328/info.txt.html

http://www.file-upload.net/download-1141331/log.txt.html

Danke!

myrtille · 27.09.2008, 19:02

Die logs sehen sauber aus. Hast du noch Probleme?

lg myrtille

27.09.2008, 19:49

Symtom beseitigt, alles gut ?

Wo ist der Hinweis auf die erfolgte Kompromittierung des Systems ?

Wie kann man dieses System als "vertrauenswürdig" bezeichen und den User guten Gewissens damit z.B. Onlinebanking machen lassen ?

Ich wundere mich über die "Kompetenz" hier.

Ein mit Roque Antivirus verseuchtes System muss neu aufgesetzt werden. Alle Passwörter sind zu ändern und bei Nutzung von Online-Banking die Bank zu informieren.

**Sunny** · 27.09.2008, 22:10

Zitat:

Zitat von Pfuscher

Symtom beseitigt, alles gut ?

Wo ist der Hinweis auf die erfolgte Kompromittierung des Systems ?

Wie kann man dieses System als "vertrauenswürdig" bezeichen und den User guten Gewissens damit z.B. Onlinebanking machen lassen ?

Ich wundere mich über die "Kompetenz" hier.

Ein mit Roque Antivirus verseuchtes System muss neu aufgesetzt werden. Alle Passwörter sind zu ändern und bei Nutzung von Online-Banking die Bank zu informieren.

Wenn du auf dem Chip-Forum diese Erfahrungen gemacht hast, dann darfst du dies auch zukünftig dort weitermachen!
Aber wenn du deine Augen öffnen willst, dann schau mal außerhalb der deutschen Foren, zum Beispiel auf MajorGeeks oder bleeping.com, da wirst du das Thema Neuinstallation nie (bis selten!) finden!
(nur in Ausnahmesituationen!)

Wenn du dazu weiterhin noch diskutieren möchtest, dann benutze die Boardsuche zum Thema "Grundsatzdiskussion", da wirst du sicherlich alle Antworten finden!
Aber bitte keine Dialogstörung hier in diesem Thema.

Danke.

28.09.2008, 00:00

Zitat:

Zitat von [GC]Sunny

Wenn du auf dem Chip-Forum diese Erfahrungen gemacht hast, dann darfst du dies auch zukünftig dort weitermachen!

Das kannte ich noch garnicht.

Aber danke fürden Tip. Du meinst wirklich das Chip-Forum , wo man dich wegen zuviel Kompetenz gekickt hat ?

LOL

Trotzdem Danke für den Tip.

Die können es nämlich und veralbern nicht die hilfesuchenden User.

Mich bitte hier sperren, Danke.

**Sunny** · 28.09.2008, 11:34

Zitat:

Zitat von Pfuscher

Aber danke fürden Tip. Du meinst wirklich das Chip-Forum , wo man dich wegen zuviel Kompetenz gekickt hat ?

Keine Hintergründe wissen aber flamen, das habe ich gern.

Augen auf und richtig lesen bitte, ich habe mich selbst löschen lassen dank einer PN die ich an Conny95 geschickt habe...

EOD, back to topic

miezekatz · 28.09.2008, 12:02

das ist nämlich genau das was ich wissen wollte...probleme habe ich keine mehr, aber ist jetzt alles sicher? traue mich nämlich nicht mehr onlinebanking zu machen... muss ich denn jetzt alles platt machen oder ist das problem jetzt beseitigt?

bin einfach nur total verunsichert, weil ich nicht wirklich viel ahnung habe

myrtille · 28.09.2008, 12:13

Hi,

der Rechner sollte eigentlich sicher sein. Es besteht natürlich das Risiko, dass du unbekannte, ungesehene Malware auf deinem Rechner hast, die niemand bemerkt hat.
Das Risiko ist jedoch sehr klein und würde auch bestehen, wenn du dir vorher kein Antivirus XP 2008 installiert hättest.
Millionen von Menschen haben sich bereits mit diesem Rogue infiziert und mit Malwarebytes bereinigen lassen. Bisher ist mir kein Fall bekannt, in dem danach noch Probleme auftraten.

Es gibt jedoch keine 100% Sicherheit.
Würdest du das wollen, müsstest du den Rechner eigentlich nach jedem Internetbesuch, nach jedem angeschlossenen USB-Stick, nach jedem Start eigentlich formatieren und selbst dann gäbe es noch Wege dich zu infizieren.

Passwörter sollte man sowieso immer mal wieder ändern, einige sagen sogar alle 3 Monate

lg myrtille

21.09.2008, 11:15	#3
myrtille /// TB-Ausbilder	Antivirus XP2008 - ein weiterer betroffener :) Hehe, ich darf vervollständigen? Die Anleitunngen findest du hier HijackThis und Malwarebytes und Antivir solltest du alleine schaffen. Wir glauben an dich lg myrtille __________________ __________________

27.09.2008, 19:02	#9
myrtille /// TB-Ausbilder	Antivirus XP2008 - ein weiterer betroffener :) Die logs sehen sauber aus. Hast du noch Probleme? lg myrtille __________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM Spelling mistakes? Never, but keybaord malfunctions constantly!

Antivirus XP2008 - ein weiterer betroffener :)

Plagegeister aller Art und deren Bekämpfung: Antivirus XP2008 - ein weiterer betroffener :)