Schönen Abend,

ich bin aufgrund von meinem Befall und der google suche auf euer board gestoßen, ich hoffe ihr könnt mir vlt weiterhelfen...

Also zum Problem, ich habe eine Aktuelle Version der GData Internet Security.

So habe dann gestern mal einen Check gemacht, aufgrund von gewisser Ungeriemtheiten. Denn es ist so, mein Prozessor lief sonst im normalbetrieb bei 0-3% Leistung, plötzlich ist er bei 40-50% dauerhaft. (!!!)

Nun habe ich bei diesem Scan eine vielzahl an böser soft erkannt und diese in Quarantäne gebannt, nur keine besserung. Das untere Bild zeigt meinen Aktuellen Quarantäneordnder, die schwarzen Striche sind zensuren empfindlicher Informationen.



edit: Sehe gerade, das bild ist recht schwer zu lesen, wenn es nicht geht lade ich es nochmal neu hoch, verzeiht mir bitte. /edit:


So nun meine Frage, kann mir evt einer helfen? Ich habe erste Schritte bereits eingeleitet und an einem fremden Rechner sämtliche Passwörter geändert. Weiterhin habe ich mein OnlineBank Account sperren lassen.
So nun hoffe ich, ich habe mich zumindest auf erstem Schritt in Sicherheit gebracht. nur möchte ich schon mein system wieder sauber haben. :-(

Ich benutze Windows XP Home SP3 und Firefox 3.0.3, weiterhin besitze ich keinen IExplorer mehr, daher muss diese iexplorer.exe in meinen Prozessen etwas böses sein.


Ich habe hier viele detaillierte Anleitungen lesen können. Nur wollte ich nichts auf eigene Faust und ohne "führende Hand" in Angriff nehmen.

Ich bin für jede Hilfe sehr Dankbar und hoffe ich bin noch nicht verloren.

Liebe Grüße, der Elmo...

Hallo nochmal,

Sorry für das Doppelposting, aber ich kann nicht mehr editieren...

Hier das Bild noch einmal leserlicher...






Ich hoffe mi kann einer helfen, und sofern ich gegen irgendwelche boardregeln verstoßrn habe, bitte ich darum mich aufzuklären. Aber soweit ich es ersehen kann, habe ich mich an di vorschriften gehalten.


edit: Habe gerade mit dem SecurityTaskManager nen paar prozesse untersucht, nun habe ich die iexplorer.exe gefunden. Diese lässt keineswegs löschen, auch nicht shreddern durch GData. Es ist sogar so, das mir angezeigt ird, wie sie geshreddert wird, aber dann immer wieder auftaucht. Es handelt sich ja offensichtlich um etwas böses, kann man denn da nicht mit hilfe eines Editors oder anderweitigen prgrammen den Virus so um schreiben, das er kein potenzial mehr hat? Sorry, wenn diese frage dumm sein sollte, aber ich habe auf diesem gebiet null Fachwissen.
/edit.
Naja
Liebe Grüße, der Elmo...

Hallo nochmal,

ich weiß nicht ob ich irgendwas falsch gemacht habe, aber kann mir denn keiner helfen? :-(

Falls an meinem Titel etwas auszusetzen ist, dann löscht bitte das thema, und gebt mir einen Hinweis wie ich es besser gestalten könnte.

Der Titelanfang mit "Hi@All..." war so gewählt, da das mein erster Post hier war und ich eine allgemeine Begrüßung aussprechen wollte. Wenn daran etwas auszusetzen ist, tut es mir leid.

Ich hoffe ihr könnt mir helfen bzw. meinen PC noch retten...

Vielen Dank im voraus und liebe Grüße,

der Elmo...

Hallo

Zitat:

ich weiß nicht ob ich irgendwas falsch gemacht habe, aber kann mir denn keiner helfen? :-(

wirklich falsch gemacht nicht, aber die Fundorte hättest du bspw. nicht schwärzen sollen bzw. die kompletten Pfade angeben sollen

Benutze bitte mal den CCleaner zum aufräumen und

Zitat:

deaktiviere bitte die Systemwiederherstellung -->
System herunterfahren --> System ca. 2min auslassen --> Neustart --> Systemwiederherstellung kann wieder aktiviert werden.

anschließend führe ein Update deines Antivirenprogramms durch und mach einen Scan des gesamtem Systems.

Die deskbar.dll lass bitte hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

Hallo und vielen herzlichen Dank für deine Antwort, :-) !!

Also um noch etwas genauer zu werden, ich bin ja nicht untätig gewesen und habe einiges schon versucht. Es läuft gerade ein Malwarebyte Scan, der bereits 12 infizierte objekte entdeckt hat.

Auch die "iexplorer.exe" habe ich eliminiert, indem ich in den abgesicherten modus ging und den entsprechenden Ordner dort gelöscht habe. (--> hoffe das war kein fehler...) Seither ist in bezug auf diese exe schonmal ruhe.

So desweiteren, die deskbar.dll ist nicht mehr da, da der ganze ordner nicht mehr existiert. Das war so, ich habe von der chip-zeitung diesen Brockhaus2007 digital installieren wollen. Dabei gab Gdata dann die Meldung der deskbar.dll raus, woraufhin ich mit doch leicht verärgerter stimmung, dass prog. gleich wieder deinstallierte. Was hierzu noch zu sagen wäre, zudem zeitpunkt, als das war hatte ich noch nicht einmal Internet also keine externe infektion möglich, die sich dann mit einbringen wollte...

Oh, ja ich sehe, der kommplette Pfad fehlt ja, tut mir leid, da war ich aus lauter sorge um mein system ein Esel.

Also ich poste jetzt direkt mal mein malwarebyte log.
Ich werde dann warten und sofern ich ein okey erhalte die gefundenen objekte löschen. :-)

Code: Alles auswählenAufklappen

ATTFilter

 Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1225
Windows 5.1.2600 Service Pack 3

01.10.2008 18:49:35
mbam-log-2008-10-01 (18-49-29).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)
Durchsuchte Objekte: 143707
Laufzeit: 47 minute(s), 36 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\toolband.xttbpos00 (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{77d6ddfa-7834-4541-b2b3-a8b0fb0e3924} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{4bd2d6c3-31dc-b947-23d0-dc52ec4f0c4c} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\toolband.xttbpos00.1 (Adware.BHO) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> No action taken.
C:\Dokumente und Einstellungen\Loemker\Anwendungsdaten\addon.dat (Malware.Trace) -> No action taken.
         

Ich habe im log gelesen "nichts böses entdeckt", nur habe ich auch schon den "spydoctor" laufen lassen, der fand etwas bösartiges, namens "backdoor..." genau weis ich es nicht mehr, ich habe aber den spydoctor sofort wieder entfernt, als er von mir wollte, dass ich ihn kaufe um etwas tun zu können außer scannen und da hatte ich was gelesen, dass das eine methode sei um daten zu erhaschen. Deshalb wurde ich misstrauisch.

Also nochmal herzlichen Dank für deine Antwort und bitte sag doch noch einmal, soll ich jetzt wie in deinem vorigen Post verfahren oder erstmal die von malwarebyte gefundenen entfernen?

Übrigens, habe gerade nochmal geschaut, die "addon.dat" war die von "spydoctor" als gefährlche datei indentifizierte.


Danke, liebe Grüße, der Elmo...

Hallo

Zitat:

Auch die "iexplorer.exe" habe ich eliminiert, indem ich in den abgesicherten modus ging und den entsprechenden Ordner dort gelöscht habe. (--> hoffe das war kein fehler...) Seither ist in bezug auf diese exe schonmal ruhe.

was für ein Ordner und welche Dateien haben darin befunden?
Hast du diese Dateien überprüfen lassen?

Zitat:

So desweiteren, die deskbar.dll ist nicht mehr da, da der ganze ordner nicht mehr existiert. Das war so, ich habe von der chip-zeitung diesen Brockhaus2007 digital installieren wollen. Dabei gab Gdata dann die Meldung der deskbar.dll raus, woraufhin ich mit doch leicht verärgerter stimmung, dass prog. gleich wieder deinstallierte. Was hierzu noch zu sagen wäre, zudem zeitpunkt, als das war hatte ich noch nicht einmal Internet also keine externe infektion möglich, die sich dann mit einbringen wollte...

OK

Zitat:

Ich werde dann warten und sofern ich ein okey erhalte die gefundenen objekte löschen. :-)

bitte alle Funde beseitigen lassen.

Zitat:

nur habe ich auch schon den "spydoctor" laufen lassen, der fand etwas bösartiges, namens "backdoor..." genau weis ich es nicht mehr, ich habe aber den spydoctor sofort wieder entfernt, als er von mir wollte, dass ich ihn kaufe um etwas tun zu können außer scannen und da hatte ich was gelesen, dass das eine methode sei um daten zu erhaschen.

Ich verstehe nicht ganz, wurde etwas gefunden oder nicht

Zitat:

Übrigens, habe gerade nochmal geschaut, die "addon.dat" war die von "spydoctor" als gefährlche datei indentifizierte.

da der Doc nicht mehr auf deiner Platte zugegen ist lass die Datei mit entfernen.

Zeige uns doch mal ein HijackThis Log.

MFG

Hi,

also:

Habe nun die Malwarebyte Funde entfernt.


So, wegen der iexplorer.exe, also ich habe die vorher testen lassen, bei virustotal, der zeigte mir nichts, aber es musste einfach schadsoft sein(s.u.) und er lies sich nicht löschen, es wurde gesagt, er sei gelöscht, aber der ordner blieb trotzdem inklusive inhalt vorhanden, um genau zu sein lies der sich nur shreddern(GData), aber trotzdem der erwähnte effekt. Was aber das offensichtlichste war, ist die tatsache, das ich keinen IE besitze, der ist schon lange deinstalliert, weil ich gelesen hab, dass der nur probleme macht.

Aber was auch immer das ist, irgendetwas startet immer noch bei jedem neustart mit, ich kann es sehen, es öffnet sich ein fenster, für den bruchteil einer sekunde und verschwindet wieder, es ist nicht ersichtlich, was da steht. nur die kopfzeile, irgendetwas mit persönliche einstellungen o.ä., dieses fenster war defakto vor dem befall nicht da. Zu vergleichen ist es damit, wenn man mit Borland Delphi in PASCAL programmiert, und die "readln" zeile vor dem "end." vergisst. Ich hoffe damit ist etwas anzufangen. Wenn nicht tut es mir echt leid...



So habe ja bereits ein HijackThis gemacht, bevor ich überhaupt tätig wurde, da ist auch noch die iexplorer.exe zu sehen. Aber die war deinitiv schadcode, da sie erst aufgetaucht ist, nachem die ganzen Trojaner aufgetaucht sind, außerdem läuft meine Prozessor leistung jetzt wieder mit 0-3% selbst jetzt wo mozilla offen ist. Und vor der terminierung lief er unnormaler weise die gesamte zeit auf mindestes 20%, meißt jedoch weit höher.

Also das 1. HJT log ist von voher, und das folgende von dann, nachdem ich im abgesicherten modus war und die malwarebyte hab laufen und arbeiten lassen.

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:51:49, on 29.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe
C:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe
C:\Programme\Java\jre1.6.0_06\bin\jusched.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDPop3.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\WINDOWS\System32\svchost.exe
G:\QuicktimePlayer\QuickTimePlayer.exe
L:\Security TaskManager\Security Task Manager\taskman.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinTV\WinTV.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\Internet Explorer\iexplore.exe   <<-- ist auf jeden Fall böse, lässt sich weder beenden, bzw. startet sofort wieder neu. Lässt sich auch nicht löschen!!! --<<
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\programme\g data internetsecurity\avkkid\avkcks.exe
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKCU\..\Run: [*******Automount] "D:\*******120\******* 120\axcmd.exe" /automount  <<-- editiert von mir--<<
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1220697105484
O17 - HKLM\System\CCS\Services\Tcpip\..\{1093DA7D-87A0-4F32-AE3A-C701AE10309C}: NameServer = 192.168.*.*  \
O17 - HKLM\System\CCS\Services\Tcpip\..\{761C45D1-3F34-43B5-A2D4-3B125F6C1535}: NameServer = 192.168.*.*      --> editiert von mir
O17 - HKLM\System\CS1\Services\Tcpip\..\{1093DA7D-87A0-4F32-AE3A-C701AE10309C}: NameServer = 192.168.*.*   /
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - D:\*******120\*******120\StarWind\StarWindServiceAE.exe (file missing)  <-- editiert von mir

--
End of file - 8726 bytes
         

Der log nach Malwarebyte:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:27:30, on 01.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe
C:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDPop3.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
C:\Programme\Gemeinsame Dateien\Logishrd\KHAL2\KHALMNPR.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/
R3 - Default URLSearchHook is missing
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,c:\programme\g data internetsecurity\avkkid\avkcks.exe,
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [GDFirewallTray] C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe
O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Programme\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [OpwareSE4] "C:\Programme\ScanSoft\OmniPageSE4\OpwareSE4.exe"
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: G DATA Firewall Tray.lnk = ?
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1220697105484
O17 - HKLM\System\CCS\Services\Tcpip\..\{1093DA7D-87A0-4F32-AE3A-C701AE10309C}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{761C45D1-3F34-43B5-A2D4-3B125F6C1535}: NameServer = 192.168.0.0
O17 - HKLM\System\CS1\Services\Tcpip\..\{1093DA7D-87A0-4F32-AE3A-C701AE10309C}: NameServer = 192.168.0.1
O23 - Service: G DATA AntiVirus Proxy (AVKProxy) - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe
O23 - Service: G DATA Scheduler (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe
O23 - Service: AntiVirus Wächter (AVKWCtl) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: G DATA Personal Firewall (GDFwSvc) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NMIndexingService - Unknown owner - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Unknown owner - D:\Alcohol120\Alcohol 120\StarWind\StarWindServiceAE.exe (file missing)

--
End of file - 7790 bytes
         

So wegen dem Spydoc, also der hat schon etwas gefunden, was auch in Malwarebyte gefunden wurde, nur als ich bei dem die dateien entfernen lassen wollte, was übrigens nur drei waren(!), <-- also wohl eher schlechtes prog., sollte ich dann aufeinmal die Vollversion kaufen und ja, ich habe nicht weiter gemacht, aber vermutlich miene daten angeben, und das ist mir im moment zu heiß. Insbesondere, weil ich gelesen habe, das es diese "helfer" gibt die sich als solche ausgeben, einen Scan machen, und dann auf einmal daten haben wollen... Aber wie dem auch sei, habe dann den Spydoc wieder gekillt und hier im forum nach alternativen geschaut und malwarebyte entdeckt.


Vielen Dank für deine hilfe, ich bin dir echt Dankbar!!

Liebe Grüße, der Elmo

Hallo

Zitat:

Was aber das offensichtlichste war, ist die tatsache, das ich keinen IE besitze, der ist schon lange deinstalliert, weil ich gelesen hab, dass der nur probleme macht.

Ach ja?
Wie führst du denn Updates des Betriebssystems durch...

Zitat:

Aber was auch immer das ist, irgendetwas startet immer noch bei jedem neustart mit, ich kann es sehen, es öffnet sich ein fenster, für den bruchteil einer sekunde und verschwindet wieder, es ist nicht ersichtlich, was da steht. nur die kopfzeile, irgendetwas mit persönliche einstellungen o.ä., dieses fenster war defakto vor dem befall nicht da. Zu vergleichen ist es damit, wenn man mit Borland Delphi in PASCAL programmiert, und die "readln" zeile vor dem "end."

Sorry aber Pascal ist bei mir schon ca. 12 Jahre her, an solche "Kleinigkeiten" kann ich mich nicht erinnern.

Zitat:

So habe ja bereits ein HijackThis gemacht, bevor ich überhaupt tätig wurde, da ist auch noch die iexplorer.exe zu sehen. Aber die war deinitiv schadcode

Überprüfe dein System bitte mit Combofix
ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

MFG

Hi,

also eins nochmal vorweg, ich bin dir wirklich aus tiefstem herzen Dankbar, dass du mir hilfst. :-) Ohne dich wäre ich aufgeschmissen.

Ich werde die von dir empfohlenen Schritte einleiten, sobald ich wieder zuhause bin, bin im moment bis morgen weg.

Werde aber dann das empfohlene ausprobieren und dann bescheid geben...

Aber eine Frage noch, da steht ja alles deaktivieren, also Virenwächter und so. Muss ich dann die ganzen dienste von GData ausschalten, also Virenschutz, Firewall, Scripte zulassen usw. usf. .

Ja tut mir leid, wegen der Sache mit PASCAL, aber ich habe versucht mich total darauf zu konzentrieren und glaube ich lesen können, dass da etwas von ...\temp\... stand. Also das es im Tempordner des Systems ausgeführt wird.(?!)

Oh, muss man den IE haben für diese Updates? Dann werde ich den nach der Säuberung wieder installieren. Aber ich habe gelesen, das er viele Probs machen würde...

Okey, vielen Dank nochmal... :-)

Liebe Grüße, der Elmo...

Zitat:

Zitat von Elmo86

Ich habe im log gelesen "nichts böses entdeckt", nur habe ich auch schon den "spydoctor" laufen lassen, der fand etwas bösartiges, namens "backdoor..." genau weis ich es nicht mehr...

also wenn eine backdoor vorhanten sein sollte wird man nicht ums Neuaufsetzen drum kommen.

Hi,

ist denn das wirklich nötig, das System neu aufzusetzen?

Wenn ja würde ich jetzt meine externe HDD Formatieren, die dann mit dem Inhalt aller Partitionen füllen, und dann auf der ex. HDD einmal Malwarebyte laufen lassen, und dann den Rechner zu meinem Händler bringen, wo ich ihn dann aufseten lassen würde und dann wäre es damit gut, diese Tipps um das system sicherer zu machen, würde ich dann übernehmen und dann hoffentlich erstmal ruhe haben vor den angriffen...

Oder ist da doch noch etwas zu drehen, ich meine, ich habe jetzt zwei Personen die mir ihre Hilfe anbieten, worüber ich sehr dankbar bin, nur die Meinungen driften doch sehr auseinander...

Weiterhin noch eine Frage, kann Malwarebytes das Prog. Teamviewer als Trojanisches Pferd ansehen? Denn das hat ja glaube ich auch eine Backdoor funktion. Dieses nutzt mein Händler nämlich um von seiner Zentrale aus, Software Probleme hier am Rechner zu lösen. Diesen Dienst habe ich bisher noch nicht genutzt, aber vlt. wird das ja als bösartig erkannt...


Vielen Dank euch allen und Liebe Grüße,

der Elmo...

Hallo,

ich Danke euch allen nochmal herzlich und werde eurer board weiterempfehlen.

Ich habe den Rechner allerdings nun weggegeben, er wird fachmänisch repariert und evt. kaufe ich einige zusatzsoft, die mein system sicherer werden lässt. Ich werde auch nicht nochmal meinen alten Rechner hochfahren und dessen Daten rüberholen, denn ein Malwarebyte Scan auf dem Gerät hat ergeben, das sich 506(!) infizierte Objekte auf ihm befinden!!! Unter anderem AVKiller, Backdoor und und und...