Hallo zusammen,

es ist unglaublich. Ich habe seit gestern einen ganz neuen PC und schon ein Scriptvirus eingefangen. Antivr findet an mehreren Stellen Viren/Trojaner, was auch immer. Ich habe jetzt das installieren von weiteren Programmen erst einmal gestoppt. Um so mehr auf der Festplatte ist, desto schwieriger wird es wahrscheinlich die Sache zu beheben.

Bin nicht besonders bewandelt mit dem Umgang von Viren etc.
Löschen, Zugriff verweigern etc. bringt alles nix. Nach 2 Minuten bekomme ich wieder eine Nachricht von Antivir.

Wie empfohlen werde ich die Log-File anhängen. Ich hoffe es kann mir jemand helfen.

Gruß
Bambule


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:19:02, on 16.04.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Vtune\TBPanel.exe
C:\Programme\techsolo\techsolo TC-N38 Utility\RtWLan.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\QIP\qip.exe
C:\Programme\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by BAMBAM
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [BAMBAM] C:\WINDOWS\SYSTEM32\BAMBAM.vbs
O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TBPanel] C:\Programme\Vtune\TBPanel.exe /A
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: techsolo TC-N38 Utility.lnk = C:\Programme\techsolo\techsolo TC-N38 Utility\RtWLan.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 3323 bytes

Hier noch die Log-File von Malwarebytes

nix gefunden!

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1989
Windows 5.1.2600 Service Pack 2

16.04.2009 11:16:32
mbam-log-2009-04-16 (11-16-32).txt

Scan-Methode: Vollständiger Scan (C:\|F:\|)
Durchsuchte Objekte: 85772
Laufzeit: 5 minute(s), 45 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

hee...kann mir denn niemand helfen?

Das Problem wurde auch in den alten Threats nicht gelöst....es ist also noch Bedarf vorhanden!!

Bitte immer nur ein Thema zu deinem Problem eröffnen, da sich sonst 2 Helfer um dein Problem mühen müssen!

Desweiteren wäre Regel Nummer 5 für dich nochmal sehr lesenswert.

Zitat:

5. Beschreibe Dein Problem in einigen Sätzen und arbeite diese Anleitung durch -> Was muß ich vor meinem ersten Thema beachten?
Auch Funde von deiner Sicherheitssoftware bitte im Thema nennen: (z.B. c:\windows\virus.exe)
Fehlen diese Angaben, kann und wird dir hier niemand helfen.

Ok, danke!
Anmerkung verstanden. Tut mir leid, dachte die Angaben durch Hijack und Co würden reichen.

Hier nun die fehlenden Daten von Antivir. Ich hoffe mir kann/möchte nun jemand helfen.



Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 18. April 2009 02:45

Es wird nach 1355927 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: BAMBAM

Versionsinformationen:
BUILD.DAT : 8.2.0.347 16934 Bytes 16.03.2009 14:45:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 15.04.2009 15:32:36
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 15:32:37
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 15:32:37
ANTIVIR2.VDF : 7.1.3.63 1588224 Bytes 16.04.2009 14:35:16
ANTIVIR3.VDF : 7.1.3.72 20992 Bytes 17.04.2009 20:18:50
Engineversion : 8.2.0.148
AEVDF.DLL : 8.1.1.0 106868 Bytes 15.04.2009 15:32:37
AESCRIPT.DLL : 8.1.1.75 373113 Bytes 15.04.2009 15:32:37
AESCN.DLL : 8.1.1.10 127348 Bytes 15.04.2009 15:32:37
AERDL.DLL : 8.1.1.3 438645 Bytes 15.04.2009 15:32:37
AEPACK.DLL : 8.1.3.14 397685 Bytes 17.04.2009 20:18:53
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 15.04.2009 15:32:37
AEHEUR.DLL : 8.1.0.119 1724791 Bytes 17.04.2009 20:18:53
AEHELP.DLL : 8.1.2.2 119158 Bytes 15.04.2009 15:32:37
AEGEN.DLL : 8.1.1.36 340341 Bytes 17.04.2009 20:18:51
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 10:05:56
AECORE.DLL : 8.1.6.9 176500 Bytes 15.04.2009 15:32:37
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.3 155688 Bytes 17.04.2009 20:18:51
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, F:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Samstag, 18. April 2009 02:45

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RtWLan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TBPANEL.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'E_FATIAEE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HDeck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winampa.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '30' Prozesse mit '30' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '51' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{48C1A94C-6518-41C7-B52A-C7304786AFA1}\RP10\A0004682.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a19236f.qua' verschoben!
C:\System Volume Information\_restore{48C1A94C-6518-41C7-B52A-C7304786AFA1}\RP11\A0004694.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a192375.qua' verschoben!
C:\System Volume Information\_restore{48C1A94C-6518-41C7-B52A-C7304786AFA1}\RP11\A0004695.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4b700e76.qua' verschoben!
C:\System Volume Information\_restore{48C1A94C-6518-41C7-B52A-C7304786AFA1}\RP11\A0004704.vbs
[FUND] Enthält Erkennungsmuster des HTML-Scriptvirus HTML/Silly.Gen
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a192376.qua' verschoben!
Beginne mit der Suche in 'F:\'


Ende des Suchlaufs: Samstag, 18. April 2009 02:53
Benötigte Zeit: 08:08 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

1503 Verzeichnisse wurden überprüft
107254 Dateien wurden geprüft
4 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
4 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
107249 Dateien ohne Befall
777 Archive wurden durchsucht
1 Warnungen
4 Hinweise

Fixen mit HijackThis:

• Starte HijackThis und wähle "Do a system scan only". Markiere nun folgenden Eintrag:

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKLM\..\Run: [BAMBAM] C:\WINDOWS\SYSTEM32\BAMBAM.vbs
         

• Drücke "Fix checked"

Die Funde von Avira sind in der Systemwiederherstellung.

Systemwiederherstellung deaktivieren:

• Windowstaste + R
• "SYSDM.CPL ,4" eingeben.
• Haken bei "Systemwiederherstellung auf allen Laufwerke deaktivieren" und auf übernehmen drücken.
• Windows neu starten.
• Anschließend wieder die Systemwiederherstellung aktivieren.

Gibt es sonst noch irgendwelche Probleme, ausser dieser Meldung von Avira? Falls nicht, sollte das Teil entfernt worden sein, bevor es zu viel anrichten konnte. Öffne bitte mal deinen Internetexplorer, steht im Fenstertitel oben Links irgendwas wie Hacked by BamBam?

Achja, lade dir bitte die aktuelle Version von Avira (Version 9)

mfg, Kaos

Ok! Super Antwort. Danke! Antivir findet keine neuen Befunde.

Habe alles ausgeführt ABER, wenn ich nun auf den Arbeitsplatz gehe und eine meiner Festplatten anklicke, dann kommt die Nachricht: "Windows Script Host", "Die Sriptdatei "C:\Bambam.vbs" wurde nicht gefunden"

Auf diese Art und Weise kann ich nicht auf die Festplatte zugreifen. Gehe ich in den Explorer, so kann ich über den Reiter auf der linken Seite das Problem umgehen.

Jemand ne Ahnung was das zu bedeuten hat?

----------------------------------------------------------------------------
2. Problem:
Mein neuer Rechner ist nun vermutlich frei von Trojanern etc., aber mein alter Rechner (+ USB + ext.Festplatte) noch infiziert.
Ich möchte aber meine alten Daten transferieren und versuche dementsprechend alle 3 Medien sauber zu bekommen. Es werden also bald weiter Logfiles folgen.
Ich hoffe ihr könnt mir weiterhin so gut helfen.

Merci