Hi leute ich hab heute nen HijackThis logfile gemacht:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:08:09, on 25.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Lavasoft\Ad-Aware\aawservice.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\Programme\Alwil Software\Avast4\aswUpdSv.exe
D:\Programme\Alwil Software\Avast4\ashServ.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
D:\Programme\Bonjour\mDNSResponder.exe
D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
D:\Programme\Mouse Driver\KMWDSrv.exe
D:\Programme\CDBurnerXP\NMSAccessU.exe
D:\Programme\Alwil Software\Avast4\ashMaiSv.exe
D:\Programme\Alwil Software\Avast4\ashWebSv.exe
D:\WINDOWS\system32\wscntfy.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
D:\WINDOWS\RTHDCPL.EXE
D:\Programme\Mouse Driver\StartAutorun.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\Programme\Mouse Driver\KMConfig.exe
D:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe
D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
D:\WINDOWS\system32\RunDll32.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\Mouse Driver\KMProcess.exe
D:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
D:\Programme\iPod\bin\iPodService.exe
D:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - D:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O4 - HKLM\..\Run: [GEST] m’|\ü
O4 - HKLM\..\Run: [StartCCC] "D:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [KMCONFIG] D:\Programme\Mouse Driver\StartAutorun.exe KMConfig.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "D:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [avast!] D:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MsnMsgr] "D:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [messengerskinner] D:\Programme\MessengerSkinner\MessengerSkinner.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Download with ImTOO Download YouTube Video - D:\Programme\ImTOO\Download YouTube Video\upod_link.HTM
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab[/url]
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - D:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - D:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - D:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - D:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - D:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - D:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - D:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: Keyboard And Mouse Communication Service (KMWDSERVICE) - UASSOFT.COM - D:\Programme\Mouse Driver\KMWDSrv.exe
O23 - Service: NMSAccessU - Unknown owner - D:\Programme\CDBurnerXP\NMSAccessU.exe

--
End of file - 7016 bytes

Sieht für mich nicht gut aus. Mein Avira hat heute einen Trojan downloader gefunden:

In der Datei 'D:\System Volume Information\_restore{55420402-19BA-4E21-9A93-C9976AC35936}\RP54\A0045267.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/VB.GWF' [backdoor] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

Der muss schon länger im PC sein und hat somit wohl schon zugeschlagen.
Wie sieht mein LogFile so aus? Was schlimmes dabei?

MFG

grandnic11


/EDIT

Zitat:

O4 - HKCU\..\Run: [messengerskinner] D:\Programme\MessengerSkinner\MessengerSkinner.exe

Das ist ein Virus das weiß ich. Den habe ich aber auch schon gelöscht. (Ist schon ein paar Monate her).
Ist der immernoch gefährlich?

Deaktivieren der Systemwiederherstellung

Windows XP:

• Start => Ausführen => sysdm.cpl eingeben => "OK" drücken
• Wähle den Reiter "Systemwiederherstellung"
• Einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" setzen => "übernehmen" drücken
• Jetzt den PC booten, der Start kann eine Weile dauern
• Den Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" entfernen und "OK" drücken

unten rechts auf das Avira Symbol klicken bei Ereignis/Bericht das posten wo die Meldung kam.

In der Datei 'D:\System Volume Information\_restore{55420402-19BA-4E21-9A93-C9976AC35936}\RP54\A0045267.exe'
wurde ein Virus oder unerwünschtes Programm 'BDS/VB.GWF' [backdoor] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

sieht nicht gut aus

Malwarebytes' Anti-Malware

• Downloade Malwarebytes' Anti-Malware >>hier<< oder falls Malware verhindenr sollte dass der Link nicht geht versuche es mit diesem
• Installiere Anti-Malware unter dem vorgegebenen Pfad
• Vor jedem Scan solltest du Malwarebytes' Anti-Malware updaten, indem du die Option "Update" wählst => klicke auf den Button "Suche nach Aktualisierungen"
• Gehe nun wieder zurück zu "Scanner" und führe einen Vollständigen Suchlauf durch! => klicke nun auf "Scan"
• Klicke alle Laufwerke an => drücke "Scan starten"
• Lasse alle Funde löschen!
• Poste anschließend das enstandene Logfile

SUPERAntiSpyware

[img=http://img60.imageshack.us/img60/8849/superantispyware11pu3.th.gif]

• Downloade SASW >>hier<<
• Installiere das SUPERAntiSpyware für alle Benutzer mit den vorgegebenen Installationseinstellungen
• Starte es und klicke auf "Check for Updates...". Nachdem dem Update erscheint ein Protokollfenster, schließe es mit "close"
• Klicke im Hauptmenü auf "Preferences", wähle den Reiter "General and Startup", bei dem Kästchen "Start SUPERAntiSpyware when Windows starts" sollte kein Haken sein
• Wähle nun den Reiter "Scanning Control" und setze Haken bei:
  
• Close browseres before scanning
  
• Scan for tracking cookies
  
• Resolve Links/Shortcuts during scan (.Ink)
  
• Scan Alternate Data Streams
  
• Use Kernel Direct File Access (recommended)
  
• Use Kernel Direct Registry Access (recommended)
  
• Use Direct Disk Access (recommended)
  
• Display scan option in Explorer context (right-click) menu

• Klicke im Hauptmenü den Button "Scan your Computer..."
• Wähle in der Scan Location alle Festplatten und externe Datenträger aus
• Klicke auf "Perform Complete Scan" und gehe auf "weiter"
• Achte darauf dass die Funde in der Box markiert sind, danach klicke auf "weiter"
• Das Log findest du unter "Preferences..." => "Statistics/Logs" => klicke das Log an => "View Log..."

[*]Poste nun das Log

Ok wenn ich dann sicher bin^^

Aber eine frage noch:

Wo zur hölle kommen die ganzen viren her? Ich lade nicht oft was runter. Das mit messenger skinner war ein einzelfall. Ber der eine backdoor wo kam der her?!

Es könnte an einem nicht aktuellen System liegen, deswegen alle Programme aktualisieren, die Windows Patches installieren etc.

Es könnte daran liegen, dass man Dateien aus unseriösen Quellen herunterläd z.b. von P2P Netzwerken wie: eMule, Limewire etc.
Oder von den Freunden aus ICQ...


Dann eine große Rolle spielt das Klick Verhalten, man sollte nicht einfach überall drauf klicken wo es was zum Klicken gibt und alles einfach herunterladen egal ob man es braucht oder nicht.


Alles in allem deckt brain.exe so gut wie alles ab. => sein Hirn einschalten.



dann lies dir bitte das alles durch:

• http://www.trojaner-board.de/51262-a...sicherung.html
• http://www.trojaner-board.de/13150-u...-erfa-ulm.html

das sollte dir zusätzlich helfen: (danke Undoreal )

Zitat:

Zitat von undoreal

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!


Und hier noch ein paar Sachen damit der Rechner danach auch sauber bleibt..

• Installiere keine Anti-Spyware/Anti-Malware oder sonstige "Sicherheits"-Programme sondern nur ein normales AntiViren Programm wie zum Beispiel: AntiVir free, Panda, Kaspersky's Internet Security 2009 oder avast free.
  Mit einem Anti-Malware-Scanner ohne Wächter wie SUPERAntiSpyware oder Anti-Malware kann der PC bei Verdacht überprüft werden.
  .
• Halte immer alle Anwendungen aktuell (Secunia PSI kann hier wertvolle Hilfe leisten).
  .
• Update die Viren-Signaturen deines Anti-Viren Programmes reglemäßig.
  .
• Beachte bitte, dass jegliche Anti-Viren Scanner (auch in Kombination) nur einen Bruchteil aller Schädlinge finden!
  .
• Update auch regelmäßig die Hardwaretreiber (Grafikkarte, Soundkarte).
  .
• Das Windows Update sollte automatisch erfolgen -> Der Frischmacher.
  .
• Das aktuelle ServicePack sollte installiert sein:
  • XP_ ServicePack3
  • Vista_ ServicePack1
  .
• Eine vernünftige Ordneransicht erschwert es Malware sich vor dir zu verstecken -> Einstellungen.
  .
• Bei Windows Vista können einige Dienste deaktiviert werden: TechNET
  .
• Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!)
  • XP_ Firewall
  • Vista_ Firewall
    Vista_Firewall punktgenau konfigurieren
  .
• Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen
  • Sicherheit: -> höchste Stufe
    Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen"
    und Installation von Desktopobj. -> "Bestätigen".
  • Datenschutz: -> alle Cookies blockieren
  Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
  .
• Räume den Rechner regelmäßig mit dem cCleaner auf; Punkte 1&2.
  .
• Als letztes der wichtigste Punkt: Downloade dir keine illegalen oder nicht vertrauenswürdigen Daten aus dem Internet! Besonders Filesharing Tauschbörsen wie eMule, Kazaa, Bittorrent und andere Peer-to-Peer (P2P) Netzwerke sind extrem gefährlich! Sehr häufig sind die Dateien mit Schädlingen infiziert die von keinem Virenscanner entdeckt werden!!
  .
  Allgemeine Informationen zu dieser Problematik

Häufig gestellte Fragen: XP | Vista



Zusätzlich kannst du natürlich immer gerne hier posten wenn du absolut nicht weiterkommst..

Gut ok danke für den Tipp

Ich würd jetzt aber gerne Sunnys Stellungnahme hören.

Zitat:

Zitat von Jig Saw

Ich würd jetzt aber gerne Sunnys Stellungnahme hören.

Sorry, ich war gerade etwas verhindert.

Der Backdoor wurde in der Systemwiederherstellung gefunden.
Windows protokolliert den Konfigurationszustand in so genannten
Wiederherstellungspunkten, unter anderem auch

d.h. unter Umständen war niemals ein aktiver Backdoor im System, vielleicht war es nur ein Cookie was Antivir aufschreien ließ nach einer neuen Virensignatur.
Denn diese Backdoor sagt mir rein garnichts -> BDS/VB.GWF

Das ungepatchte System ist zwar wahrlich ein Grund alles neu zu installieren, aber man kann/könnte es vertreten hier trotzdem zu bereinigen. Liegt aber im Ermessen des einzelnen Users...

Zitat:

Zitat von grandnic11

@ Sunny

Selbst hier im Forum wird bei einem TR/Vundo geraten neuaufzusetzen!
Die bekommt man einfach nichtmehr weg!

Wer hat dir das geraten?
Es kommt immer auf die Infizierung direkt an. Vundo kann man, auch wenn er Backdoorfunktionen aufweist, fast immer entfernen!

Ja da stand einiges hilfreiches drinne danke.

Hi,

Also ich hab schon alles mit spybot, Avira, Avast und Ad-aware geprüft.
Auch schon mit online Virenscanern. Alle finden nichts. Die komische exe datei ist auch schon gelöscht. Wollte eigentlich nur fragen ob nicht doch was falsch ist. Was meint ihr nun zum Logfile?

da ist noch was drauf


aber deinstalliere Ad-Aware, Spybot.
Was für ein AV-Programm benutzt du, also was für Hintergrundwächter sind aktiv?

Ok brain.exe ist gestartet

Hab nochmal zum schluss ne Avira Prüfung gemacht. Ergebniss:

Funde: 14

Verdächtige Dateien: 31

Warnungen: 14

Dursuchte Objekte: 2394828281

Versteckte Objekte: 30293

Letzter Fund: TR/Vundo_M

xD naja wie gesagt mein armer PC.

Hätte nie gerechnet das ich so schlimm infiziert bin.

Naja dann setze ich mal neu auf.

Bis bald leute!

MFG

*genervter* grandnic11

Zitat:

Zitat von grandnic11

xD naja wie gesagt mein armer PC.

Hör auf zu jammern , anstatt dauernd zu erwähnen das dein PC arm ist, hättest du mal lieber beschreiben können wo Antivir den Trojan.Vundo gefunden hat.

Man nennt es auch genauen Dateipfad -> c:\windows\system32\....exe

Desweiteren ist durch MessengerSkinner ein Trojaner namens Trojan.Skintrim auf dem System gelandet.
Die Auswertung von Malwarebytes und SUPERAntiSpyware wäre sehr vorteilhaft für dich, somit wäre sogar eine Neuinstallation nicht nötig.
(warum wurde das eigentlich angeraten?)

Hi,

also der Vundo (beide Vundos) wurden in D:\Dokumente und Einstelungen\Rambo21\918274927\{92/81}\File281.rar gefunden.
Von dieser Rar Datei habe ich noch NIE etwas gewusst und auch NIE irgendwo runtergeladen. Die anderen Viren wurden auch in komischen Dateien Gefunden z.B. D:\Dokumente und Einstelungen\Rambo21\8172\{72/12}
Und von dieser Rambo21 sache hab ich auch noch nie was gehört!