TR/Dldr.Agent.90112.1

Eiko · 07.06.2009, 15:01

Hallo,

ich habe heute den USB-Stick meines Mannes an meinen PC angeschlossen und daraufhin sofort eine Meldung meinen Guards bekommen. Ich nutze Antivir (free version).
Seitdem habe ich immer wieder Meldungen des Guards, diesen Trojaner (?) in verschiedenen Dateien gefunden zu haben.
Ich brauche den Rechner sauber, da ich ihn ab morgen wieder in der Firma verwenden muss, und der Stick meines Mannes muss auch gereinigt werden.

Speziell zu diesem Trojaner habe ich nichts ergooglen können, und somit erst einmal folgendes getan:

Vorab ein Scan mit Malwarebytes über den Stick, da wurde jedoch nichts gefunden.

1. Scan mit Antivir

Code:

ATTFilter

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 7. Juni 2009  14:32

Es wird nach 1457180 Virenstämmen gesucht.

Lizenznehmer:     Avira AntiVir PersonalEdition Classic
Seriennummer:     0000149996-ADJIE-0001
Plattform:        Windows XP
Windowsversion:   (Service Pack 2)  [5.1.2600]
Boot Modus:       Normal gebootet
Benutzername:     SYSTEM
Computername:     PORTABLE

Versionsinformationen:
BUILD.DAT     : 8.2.0.353      17048 Bytes  15.05.2009 12:02:00
AVSCAN.EXE    : 8.1.4.10      315649 Bytes  25.11.2008 13:18:48
AVSCAN.DLL    : 8.1.4.0        48897 Bytes  19.07.2008 11:03:54
LUKE.DLL      : 8.1.4.5       164097 Bytes  19.07.2008 11:03:54
LUKERES.DLL   : 8.1.4.0        12545 Bytes  19.07.2008 11:03:54
ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  27.10.2008 10:09:15
ANTIVIR1.VDF  : 7.1.2.12     3336192 Bytes  11.02.2009 12:48:11
ANTIVIR2.VDF  : 7.1.4.38     2692096 Bytes  29.05.2009 15:31:19
ANTIVIR3.VDF  : 7.1.4.65      229888 Bytes  06.06.2009 12:22:59
Engineversion : 8.2.0.180 
AEVDF.DLL     : 8.1.1.1       106868 Bytes  30.04.2009 18:55:37
AESCRIPT.DLL  : 8.1.2.0       389497 Bytes  15.05.2009 18:57:20
AESCN.DLL     : 8.1.2.3       127347 Bytes  15.05.2009 18:57:18
AERDL.DLL     : 8.1.1.3       438645 Bytes  06.11.2008 10:48:36
AEPACK.DLL    : 8.1.3.18      401783 Bytes  01.06.2009 15:31:22
AEOFFICE.DLL  : 8.1.0.36      196987 Bytes  27.02.2009 19:03:46
AEHEUR.DLL    : 8.1.0.129    1761655 Bytes  15.05.2009 18:57:17
AEHELP.DLL    : 8.1.2.2       119158 Bytes  27.02.2009 19:03:41
AEGEN.DLL     : 8.1.1.44      348532 Bytes  15.05.2009 18:57:09
AEEMU.DLL     : 8.1.0.9       393588 Bytes  16.10.2008 10:44:08
AECORE.DLL    : 8.1.6.12      180599 Bytes  01.06.2009 15:31:21
AEBB.DLL      : 8.1.0.3        53618 Bytes  16.10.2008 10:44:02
AVWINLL.DLL   : 1.0.0.12       15105 Bytes  19.07.2008 11:03:54
AVPREF.DLL    : 8.0.2.0        38657 Bytes  19.07.2008 11:03:54
AVREP.DLL     : 8.0.0.3       155688 Bytes  20.04.2009 18:50:19
AVREG.DLL     : 8.0.0.1        33537 Bytes  19.07.2008 11:03:54
AVARKT.DLL    : 1.0.0.23      307457 Bytes  15.04.2008 12:20:02
AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  19.07.2008 11:03:54
SQLITE3.DLL   : 3.3.17.1      339968 Bytes  15.04.2008 12:20:02
SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  19.07.2008 11:03:54
NETNT.DLL     : 8.0.0.1         7937 Bytes  15.04.2008 12:20:02
RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  19.07.2008 11:03:50
RCTEXT.DLL    : 8.0.52.0       86273 Bytes  19.07.2008 11:03:50

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, 
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: ein
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, 
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel
Abweichende Gefahrenkategorien...: +PCK,+SPR,

Beginn des Suchlaufs: Sonntag, 7. Juni 2009  14:32

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '50668' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'RAMASST.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxext.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TOSCDSPD.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realplay.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'tfswctrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'Hotkey.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NDSTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SmoothView.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PadExe.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPEnh.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SynTPLpr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hkcmd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'igfxtray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'MZCCntrl.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'DVDRAMSV.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CFSvcs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '45' Prozesse mit '45' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '61' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Ina Wagner\Anwendungsdaten\Help\system32\mstmdm.dll
    [FUND]      Ist das Trojanische Pferd TR/Dldr.Agent.90112.1
    [WARNUNG]   Die Datei konnte nicht gelöscht werden!
    [HINWEIS]   Es wird versucht die Aktion mit Hilfe der ARK lib durchzuführen.
    [HINWEIS]   Die Datei wurde gelöscht.


Ende des Suchlaufs: Sonntag, 7. Juni 2009  15:35
Benötigte Zeit:  1:03:07 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

   5793 Verzeichnisse wurden überprüft
 340869 Dateien wurden geprüft
      1 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      1 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 340866 Dateien ohne Befall
   7108 Archive wurden durchsucht
      3 Warnungen
      1 Hinweise
  50668 Objekte wurden beim Rootkitscan durchsucht
      0 Versteckte Objekte wurden gefunden

2. CCleaner, dabei konnte jedoch nicht alles gefundene gelöscht werden.

3. Malwarebytes ohne Fund

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.37
Datenbank Version: 2243
Windows 5.1.2600 Service Pack 2

07.06.2009 15:42:23
mbam-log-2009-06-07 (15-42-23).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 126127
Laufzeit: 48 minute(s), 38 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

4. HijackThis, hier kommt mir ein Eintrag unter O4 merkwürdig vor.

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:47:21, on 07.06.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\Toshiba\Windows Utilities\Hotkey.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Games\QuickTime\qttask.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\WINDOWS\system32\igfxext.exe
C:\Dokumente und Einstellungen\xxxx\Lokale Einstellungen\Anwendungsdaten\Skype\Phone\Skype.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Dokumente und Einstellungen\xxxx\Lokale Einstellungen\Anwendungsdaten\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\xxxx\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.heute.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [Toshiba Hotkey Utility] "C:\Programme\Toshiba\Windows Utilities\Hotkey.exe" /lang DE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Games\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [Skype] "C:\Dokumente und Einstellungen\xxxx\Lokale Einstellungen\Anwendungsdaten\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTFMONEX] rundll32.exe "C:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\HELP\system32\mstmdm.dll",Entry
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {9E958ACA-8CB9-414B-B5C6-2F044D71F7B2} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1154957905551
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\DOKUME~1\INAWAG~1\LOKALE~1\ANWEND~1\Skype\Shared\SKYPE4~1.DLL
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe

--
End of file - 6957 bytes

Wie soll ich nun weiter vorgehen? Es wäre schön, wenn ihr mir helfen könntet.

Liebe Grüße
Eiko

Eiko · 07.06.2009, 18:18

Hallo,

ich brauche wirklich dringend Hilfe!

Leider hat sich dieser Virus weiter verbreitet. Ich habe nun Dateien in C:\ und in WINDOWS unter C:\ , die offenbar direkt vom Trojaner stammen. Aber ich bekomme sie nicht gelöscht.

Diese Dateien sind folgende:
C:/ARK32.vir (ich habe sie umbenennen lassen)
C:/WINDOWS/wiaservc
C:/WINDOWS/wiadebug
C:/WINDOWS/WindowsUpdate

Und bestimmt liegen irgendwo noch mehr

Wie bekomme ich den Trojaner mit allen dazugehörigen Daten runter?
Ich brauche morgen dringend eine Präsentation dieses Laptops und auch unserer USB-Sticks (ich habe meinen wahrscheinlich inzwischen auch infiziert) brauchen wir dringend.

Eiko · 07.06.2009, 19:46

Entschuldigt, ich bin es nochmal.

Ich habe nun ein zusätzliches Problem, ich kann keine neuinstallierten Programme mehr ausführen. Mein Rechner meldet dann immer, dass die xxx.exe Datei nicht gefunden werden kann.

Bitte, was ist da los, ich traue mich nichts mehr.

john.doe · 07.06.2009, 20:06

Hallo und

1.) Starte HJT => Do a system scan only => Markiere:

Code:

ATTFilter

Alle R0, R1, R3, O2, O3, O8, O9 und O16-Einträge
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Games\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [Skype] "C:\Dokumente und Einstellungen\xxxx\Lokale Einstellungen\Anwendungsdaten\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [CTFMONEX] rundll32.exe "C:\Dokumente und Einstellungen\xxxx\Anwendungsdaten\HELP\system32\mstmdm.dll",Entry
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

=> Fix checked => Neustart

2.) Falls du irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an.

ComboFix

Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert.

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Sollte sich ComboFix nicht starten lassen, dann benenne es um in cofi.exe und versuche es nocheinmal.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Eiko · 07.06.2009, 20:56

Hallo John.Doe,

ich danke dir sehr für deine Antwort.

Das gibt mir Hoffnung, dass doch noch nicht alles verloren ist.

Ich habe allerdings noch eine Frage:

Zitat:

Alle R0, R1, R3, O2, O3, O8, O9 und O16-Einträge

Soll ich diese auch markieren? Sind da nicht wichtige dabei?

Ich werde mich dann mit dem Ergebnis wieder melden.

john.doe · 07.06.2009, 20:58

Zitat:

Soll ich diese auch markieren? Sind da nicht wichtige dabei?

Die betreffen alle den MSIE und damit sollte sowieso niemand surfen.

Passt schon.

ciao, andreas

TR/Dldr.Agent.90112.1

Plagegeister aller Art und deren Bekämpfung: TR/Dldr.Agent.90112.1