Guten Abend, ich bin neu hier und komme gleich zum Thema
(ich hab' da mal'n Problem *sigh*)

OS:
Windows XP pro (5.1.2600) SP3

Antiviren:
Avast pro 4.8
Trojan Remover 6.7.4
Spybot S&D 1.6.0.31 (+ inst. teatimer)

Internet:
Zugang aus Netzwerk über Router

Browser:
Mozilla Firefox 3.0.4

Vor einiger Zeit schlug Spybots Teatimer Alarm, als ich einen Download instalieren wollte. Eigentlich normal, mir kamen die gewünschten RegEinträge merkwürdig vor, weshalb ich die Installation dann abbrach. Zu spät!!!

Einige RegAnweisungen und, was weiß ich, konnten installiert werden. Leider nicht ausreichend, um meinen Rechner komplett zu verseuchen, denn nun habe ich das Problem, dass ich nicht herausbekomme, um welche Art der Kontaminierung es sich handelt. Nur so viel:

In die Registry wird bei jedem PC-Start eine Startanweisung geschrieben:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"t66UB7NDu"="\"C:\\Dokumente und Einstellungen\\ITSME\\Anwendungsdaten\\kw7UwzOeS.pif\""

Löschen hat keinen Sinn, ist nach dem nächsten reboot wieder da. Die kw7UwzOeS.pif gibt es übrigens auch nicht.

Mein Versuch, den Virus, Trojaner, was auch immer zu ergooglen ist sinnlos, die Dateinamen sind wohl zufällig generiert.

Scans mit den o.A. Tools zeigen mir keinen Befall an. Ausserdem habe ich noch mal VundoFix im abgesichtern Modus laufen lassen, sowie mich durch sämtliche Dienste gewühlt.

Therotisch könnte ich mit dem "Kontaminierus Interruptus" leben, doch die Vorstellung, dass mein System nicht wirklich sauber ist, nervt mich doch.
Und bevor ich es letztendlich doch neu aufsetzte, frage ich hier um Rat.

Anbei die HiJackThis-Log:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:55:29, on 04.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe
D:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\oodtray.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\Adobe\Acrobat 7.0\Acrobat\Acrobat_sl.exe
C:\Programme\MagicISO\MagicDisc\MagicDisc.exe
D:\Win-App\system\TrayIt!\TrayIt!.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ht*p://go.microsoft.com/fwlink/?LinkId=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ht*p://go.microsoft.com/fwlink/?LinkId=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ht*p://go.microsoft.com/fwlink/?LinkId=
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ht*p://go.microsoft.com/fwlink/?LinkId=
O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Programme\IEPro\iepro.dll
O2 - BHO: IDMIEHlprObj Class - {0055C089-8582-441B-A0BF-17B458C2A3A8} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [SmartSync - ScheduleSync] D:\PROGRA~1\BenQ\MOBILE~1\SMARTS~1\SCHEDU~1.EXE
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [t66UB7NDu] "C:\Dokumente und Einstellungen\ITSME\Anwendungsdaten\kw7UwzOeS.pif"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: MagicDisc.lnk = C:\Programme\MagicISO\MagicDisc\MagicDisc.exe
O4 - Startup: TrayIt!.lnk = D:\Win-App\system\TrayIt!\TrayIt!.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll
O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Programme\IEPro\iepro.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{02FB3622-6E20-414D-B646-D92C339A2646}: NameServer = 192.XXX.XXX.XXX
O17 - HKLM\System\CS1\Services\Tcpip\..\{02FB3622-6E20-414D-B646-D92C339A2646}: NameServer = 192.XXX.XXX.XXX
O17 - HKLM\System\CS2\Services\Tcpip\..\{02FB3622-6E20-414D-B646-D92C339A2646}: NameServer = 192.XXX.XXX.XXX
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

Hallo,
nachdem die Resonanz auf meine Anfrage doch etwas mager ausgefallen ist, möchte ich meine Fragestellung noch eben um einen Punkt erweitern, nämlich:

Wie kann ich herausfinden, welche Datei welchen Eintrag in die Registy macht?

Dies bezieht sich auf mein bereits geschildertes Problem. Mir kam die Idee, dass ich die verseuchte Datei löschen könnte, wenn ich wüßte welche das ist. (Oder eben gegebenfalls austauschen)
Allerdings habe ich als Anhaltspunkt nur einen Registryeintrag, der sich zwar löschen lässt, jedoch nach jedem Neustart wieder eingetragen ist.

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"t66UB7NDu"="\"C:\\Dokumente und Einstellungen\\ITSME\\Anwendungsdaten\\kw7UwzOeS.pif\""

Gibt es da ein entsprechendes Suchtool oder kann ich das mit Windowsbordmitteln rausfinden?

Wieder Danke

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

Zitat:

O4 - HKCU\..\Run: [t66UB7NDu] "C:\Dokumente und Einstellungen\ITSME\Anwendungsdaten\kw7UwzOeS.pif"

klicke: Fix checked

Benutze malwarebytes-anti-malware
http://www.trojaner-board.de/51187-a...i-malware.html
Note: Wähle bei Reiter:
“Scanner”> "Quickscan durchfuehren".
“Update “> klicke “Suche nache Aktualisierungen“
“Einstellungen“ hake an “Beende Inter Explorer während des Löschvorgangs“
Scan laufen lassen
Und poste das Log

Hi Argus,

Anti Malware hat tatsächlich zwei Einträge gefunden.
(Das einzige Programm, das ich noch nicht ausprobiert hatte)

Und diese beka.ckte "0pop.dll" hatte ich schon mal in Verdacht, aber weil beim scannen nichts angezeigt wurde, dachte ich, die sei Bestandteil von O&O Defrag. Ich habe den Namen wohl auch falsch gelesen. Zu der DLL stand irgendwie sowas wie "Bla, bla Diskloader...." (Wenn man keine Ahnung hat...)

So, wollte erstmal posten. Nun der Neustart. Wenn es das war, schulde ich Dir was ;o)

lg

Anbei der Log:

Zitat:

Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1501
Windows 5.1.2600 Service Pack 3

15.12.2008 17:13:59
mbam-log-2008-12-15 (17-13-59).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 46914
Laufzeit: 2 minute(s), 9 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{fcaddc14-bd46-408a-9842-cdbe1c6d37eb} (Spyware.Banker) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\0pop.dll (Trojan.Agent) -> Quarantined and deleted successfully.

Mist, hat nicht funktioniert...

Nun weiß ich immerhin, daß mein System verseucht ist, da fällt mir die Neuinstallation, vor der ich mich seit Wochen drücke, dann nicht ganz so schwer.
(Glücklicher Weise zweit OS, welches aber eigentlich nicht zerschossen werden sollte)

Den Versuch war es wert, vielen Dank für Deine Hilfe Argus

Spybot S&D TeaTimer
Bitte den TeaTimer von Spybot S & D deaktivieren:
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe abstellen!
Starte dazu Spybot S&D,
klicke auf "Advanced mode" >"JA">"Tools">Menu> klicke auf "Resident" >
das Häkchen entfernen aus der "Resident TeaTimer" (Schutz aller
Systemeinstellungen) > "exit".
(der TeaTimer be- bzw. verhindert alle weiteren Reinigungmaßnahmen!)

Download ResetTeaTimer zum Desktop
Doppelklik ResetTeaTimer
Wenn dein Rechner wieder sauber ist kannst du TeaTimer wieder einschalten!
Note:ResetTeaTimer nicht fuer Vista


Verborgene Dateien sichtbar machen
Arbeitsplatz öffnen >Extras >Ordneroptionen >den Reiter "Ansicht" >Versteckte Dateien und Ordner >"alle Dateien und Ordner anzeigen" aktivieren und >Extras >Ordneroptionen >den Reiter "Ansicht" >Dateien und Ordner >"Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren

Starte Malwarebytes’Anti-Malware wähle Reiter " Weitere Programme "
Klicke "Programm ausführen " unter FileASSASSIN
Suche C:\Dokumente und Einstellungen\ITSME\Anwendungsdaten\kw7UwzOeS.pif und klicke OK