--- edit: ok ich habe grad gesehen das noch weitere Logs gefragt sind; ich schiebe die Logs der 3 in der FAQ angegebenen Programme nach ---

Hallo an alle,

ich hatte vor längerem schonmal diverse Tests durchgeführt um zu testen ob mein Computer befallen ist. Damals waren es ~130 Funde bei Avira AntiVir und ich habe über jeefogui.exe versucht einiges zu entfernen, danach wurde auf jeden Fall auch weniger gefunden. Zudem waren über einen "Schädling" noch die Autorun.inf Dateien der Festplatten infiziert, welche ich mittlerweile gelöscht habe.
Nun habe ich über AntiVir nochmals eine Prüfung durchlaufen lassen, genau wie über Hijack. Beide Logs werde ich unten noch anhängen. Meine Frage ist nun allerdings die folgende:
Kann ich davon ausgehen dass die befallenen Dateien weg sind / über den jeefogui repariert sind? Ich bin nämlich ein "Perfektionist" (naja vielleicht übertrieben aber so ungefähr) und würde gerne bei meiner bald anstehenden Windows 7 Installation alle Festplatten (auch die externe + meinen portablen MP3-Player, der als externe Festplatte funktioniert) formatieren, allerdings trotzdem einige Dateien versuchen zu retten, vor allem Bilder, Videos, MP3s und evtl. auch exe-Dateien, natürlich dann nur ausgewählte. Ist dies möglich? Meine Idee wäre, die wichtigen Daten auf eine bzw. ein paar DVDs zu brennen (da ist die Autorun.inf vermutlich in Ordnung). Funktioniert der "Trick"? Damals hatte sich der "Schädling" der die Autorun befallen hatte nämlich auf jeder Festplatte eingenistet und sich dadurch bei Anschluss der Festplatte am PC sofort auf jegliche andere Autorun Datei pro (virtueller) Festplatte festgesetzt.

Also unten anbei meine Logs. Ich reiche auch gerne noch weitere nach, aber denke das ist doch ein Anfang.

Grüsse an alle,

der barty

PS: versteh gar nicht wieso es hier lustige smiles gibt, die meisten die hier her kommen haben doch vermutlich nicht viel zu lachen

Anhang:

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:49:14, on 27.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Microsoft Xbox 360 Accessories\XboxStat.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
D:\Programme\Winamp\winampa.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
D:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
D:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe
D:\Programme\ICQ6.5\ICQ.exe
D:\Programme\DAEMON Tools Lite\daemon.exe
D:\Programme\Pinnacle\TVCenter Pro\PMCLoader.exe
C:\Programme\D-Link AirPlus Xtreme G\AirPlus.exe
D:\Programme\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
D:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\Last.fm\LastFM.exe
c:\programme\avira\antivir desktop\avcenter.exe
D:\Programme\Pinnacle\Shared Files\Programs\PclePvr\VideoControl.exe
D:\Programme\Firefox\firefox.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.losstarten.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by BARTY
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [XboxStat] "C:\Programme\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [BARTY] C:\WINDOWS\SYSTEM32\BARTY.vbs
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [PC Suite Tray] "D:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray
O4 - HKCU\..\Run: [ICQ] "D:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [PMCLoader] D:\Programme\Pinnacle\TVCenter Pro\PMCLoader.exe -checktasks
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: D-Link AirPlus Xtreme G Configuration Utility.lnk = ?
O4 - Global Startup: Pinnacle Streaming Server.lnk = D:\Programme\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 5634 bytes

--- AntiVir läuft noch durch, wird gleich editiiert ---

Konnte nichts mehr editiieren, deswegen hier die Logs

Zitat:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3042
Windows 5.1.2600 Service Pack 3

27.10.2009 19:25:14
mbam-log-2009-10-27 (19-25-05).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|H:\|)
Durchsuchte Objekte: 237279
Laufzeit: 32 minute(s), 45 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (LosStarten.de - Meine Startseite) Good: (Google) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
H:\System Volume Information\_restore{ADE1C158-72D2-44EF-8B52-C4274CCE4B01}\RP57\A0048345.exe (Trojan.Agent) -> No action taken.

Die Logs von RSIT habe ich als Anhang dran gehängt damit der Beitrag nicht ewig lang wird. AntiVir habe ich jetzt erstmal rausgelassen, wenn das jemand braucht bitte Bescheid sagen wird direkt nachgereicht.

Grüsse, der Barty

PS: Hab mittlerweile übrigens das Gefühl dass es zwar sch**sse ist weil trotzdem noch Sachen gefunden wurden/werden, aber scheinbar doch nicht so tragisch wie ich es erst gedacht habe. Naja primäres Ziel ist immer noch die Daten sichern zu können ohne dass ich mir auf meine Neuinstallation wieder was hole.

Trotz zugegebenermaßem schlecht gewähltem Titel, keiner 'ne Ahnung? Zumindest die Frage mit dem Sichern der Daten wäre interessant, da auf H:\ (meine externe Festplatte) ja wohl eine .exe-Datei infiziert ist und ich von dort auf jeden Fall einige Daten retten wollen würde (wie gesagt, Bilder, Videos, MP3s und wenn möglich auch weitere wie u.a. *.exe). Grüsse, der barty

Keiner 'nen Einfall? Wäre mir relativ wichtig das vorher zu wissen, wie gesagt zumindest das mit dem Sichern der Daten. Mein Dank wäre euch sicher ;-)

grüsse

Hallo barty

Ist die Installation von Windows 7 noch in Planung? Falls ja, wirst du dadurch die Plagegeister los (wenn du die Platten formatierst).

Zu deiner Datenrettung:

Bilder - Stellen kein Problem da
MP3 - auch kein problem
Videos - is immer so eine Sache, meist aber unbedenklich

*.exe - Ausführbarer Code!!!! Da solltest du sehr vorsichtig sein (auch zip- und rar-archive)! Falls du sowas sichern willst diese Sachen am besten auf eine extra CD / DVD brennen, und nur diese. Vorm zurück kopieren ins neue System überprüfen.

Gruß

Acid

hey,

also AntiVir sagt mir beim Anschluss meines MP3-Players immer noch es wurde Wurm Kido54.h gefunden und zwar in der Autorun.inf. Ok, das mit der Datensicherung und den exe-Dateien sehe ich ein. Nur eine Frage zu o.g. Wurm. der schreibt sich ja, soweit ich es verstanden habe, immer in die jeweiligen Autoruns von jeder Festplatte. Muss ich dann alle Festplatten gleichzeitig formatieren und kann meine Sachen nur auf einer CD/DVD sichern? Sonst schreibt sich der Wurm doch direkt wieder überall rein.

Richtig verstanden?

Grüsse und dankeschön,

der barty

So, bis jetzt ist immer noch nichts groß geschehen aber ich würde euch nochmal die nächsten Schritte beschreiben. Falls daran was "falsch" ist könnt ihr ja Bescheid geben

1. Daten Sicherung von Dokumenten, MP3s, Videos und ggf. vertrauenswürdigen Exe Dateien (dies nur wenn es gar nicht anders möglich ist und auch nur wenn die entsprechenden Ordner vorher per Programm durchgecheckt worden sind - oder wäre selbst das nicht sinnvoll?) auf DVDs
2. Formatierung jeglicher Festplatten (Intern, Extern, USB-Sticks sowie MP3 Player)
3. Checken der DVD auf Windows Viren mit Hilfe einer Linux-Live-CD (gibt es ja bestimmt würd ich mir dann raussuchen)
4. Überspielen der Daten auf den PC. Klingt doch sinnvoll oder?

Und dann mal toi toi toi dass dieser Mist endlich aufhört.