Hallo,
Vor kurzem hat mein Atrivirenprogramm Antivir einen Trojaner namens TR.Redol.C
gefunden. Infizierte Datei: C:\Windows\System32\hjgruitnlpenup.dll
Daraufhin habe ich sie von Antivir löschen lassen.

Beim nächsten Systemstart wurde mir der Trojaner schon wieder gefunden.
Im System 32 kann die Datei übrigens nicht gefunden werden.
Ich würde mich freuen, wenn mir jemand helfen würde, damit ich mein System nich nochmal neu draufladen muss.

Hallo und Herzlich Willkommen!

Vermutlich *Rootkittechnik* im Spiel

Zitat:

Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
Eine Neuinstallation garantiert die rückstandsfreie Entfernung der Infektion - Sicherheitskonzept v. SETI@home/Punkt 1.

Falls du doch für die Systemreinigung entscheidest - Ein System zu bereinigen kann ein paar Tage dauern (je nach Art der Infektion), kann aber sogar so stark kompromittiert sein, so dass eine wirkungsvolle technische Säuberung ist nicht mehr möglich bzw Du es neu installieren musst::

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
lade Dir HijackThis 2.0.2 von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

2.
ich brauche mehr `Übersicht` bzw Daten über einen längeren Zeitraum - dazu bitte Versteckte - und Systemdateien sichtbar machen::
→ Klicke unter Start auf Arbeitsplatz.
→ Klicke im Menü Extras auf Ordneroptionen.
→ Dateien und Ordner/Erweiterungen bei bekannten Dateitypen ausblenden → Haken entfernen
→ Geschützte und Systemdateien ausblenden → Haken entfernen
→ Versteckte Dateien und Ordner/Alle Dateien und Ordner anzeigen → Haken setzen.
→ Bei "Geschützte Systemdateien ausblenden" darf kein Häkchen sein und "Alle Dateien und Ordner anzeigen" muss aktiviert sein.

3.
Für XP und Win2000 (ansonsten auslassen)
→ lade Dir das filelist.zip auf deinen Desktop herunter
→ entpacke die Zip-Datei auf deinen Desktop
→ starte nun mit einem Doppelklick auf die Datei "filelist.bat" - Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
→ kopiere aus die erzeugten Logfile alle 7 Verzeichnisse ("C\...") usw - aber nur die Einträge der letzten 6 Monate - hier in deinem Thread
** vor jedem Eintrag steht ein Datum, also Einträge, die älter als 6 Monate sind bitte herauslöschen!

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool CCleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

5.
Um einen tieferen Einblick in dein System, um eine mögliche Infektion mit einem Rootkit/Info v.wikipedia.org) aufzuspüren, werden wir ein Tool - Gmer - einsetzen :

• - also lade Dir Gmer herunter und entpacke es auf deinen Desktop
  - starte gmer.exe
  - [b]schließe alle Programme, ausserdem Antiviren und andere Schutzprogramme usw müssen deaktiviert sein, keine Verbindung zum Internet, WLAN auch trennen)
  - bitte nichts am Pc machen während der Scan läuft!
  - "Show all" soll nicht angehakt sein! dann klicke auf "Scan", um das Tool zu starten
  - wenn der Scan fertig ist klicke auf "Copy" (das Log wird automatisch in die Zwischenablage kopiert) und mit STRG + V musst Du gleich da einfügen
  - mit "Ok" wird GMER beendet.
  - das Log aus der Zwischenablage hier in Deinem Thread vollständig hineinkopieren

** keine Verbindung zu einem Netzwerk und Internet - WLAN nicht vergessen
Wenn der Scan beendet ist, bitte alle Programme und Tools wieder aktivieren!
** kannst Du das Log bei File-Upload.net/kostenlos hochladen und den Link mir hier posten.

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

** Möglichst nicht ins internet gehen, kein Online-Banking, File-sharing, Chatprogramme usw

gruß
Coverflow

HijackThis Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:50:33, on 20.11.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18319)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Program DJ\Program DJ\PdjAssistant.exe
C:\Program Files\Program DJ\Program DJ\ProgramDJ.exe
C:\Program Files\Program DJ\Green Charger\GCTray.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Program DJ\Safety Guard\SftgLnch.exe
C:\Program Files\Program DJ\Wow Video&Audio\WVAMain.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\DAEMON Tools Lite\DTLite.exe
C:\Program Files\Internet Download Manager\IDMan.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Internet Download Manager\IEMonitor.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files\Internet Download Manager\IDMIECC.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [PdjAssistant] C:\Program Files\Program DJ\Program DJ\PdjAssistant.exe
O4 - HKLM\..\Run: [Program DJ] C:\Program Files\Program DJ\Program DJ\ProgramDJ.exe
O4 - HKLM\..\Run: [GCTray] C:\Program Files\Program DJ\Green Charger\GCTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SftgLnch] C:\Program Files\Program DJ\Safety Guard\SftgLnch.exe
O4 - HKLM\..\Run: [Wow Video&Audio] C:\Program Files\Program DJ\Wow Video&Audio\WVAMain.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun
O4 - HKCU\..\Run: [IDMan] C:\Program Files\Internet Download Manager\IDMan.exe /onboot
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Download aller Links mit IDM - C:\Program Files\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: Download FLV-Videoinhalt mit IDM - C:\Program Files\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Download mit IDM - C:\Program Files\Internet Download Manager\IEExt.htm
O13 - Gopher Prefix: 
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: DualView Server Service (DualView Server) - Unknown owner - C:\Program Files\Program DJ\Dualview Server\dualviewsvc.exe
O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel(R) Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel(R) Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe
O23 - Service: Smart Watchdog Service (Smart Watchdog) - Unknown owner - C:\Program Files\Program DJ\Smart Watchdog\SWDsvc.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

--
End of file - 5576 bytes
         

CCleaner(Programme):

Code: Alles auswählenAufklappen

ATTFilter

Adobe Flash Player 10 Plugin	Adobe Systems Incorporated	08.11.2009	
Adobe Reader 9.2 - Deutsch	Adobe Systems Incorporated	10.11.2009	238,9MB
Avira AntiVir Personal - Free Antivirus	Avira GmbH	07.11.2009	68,3MB
CCleaner	Piriform	19.11.2009	2,73MB
DivX Web Player	DivX,Inc.	08.11.2009	3,45MB
FormatFactory 2.15	Free Time	09.11.2009	91,1MB
GIMP 2.6.7		14.11.2009	87,0MB
Green Charger		07.11.2009	3,09MB
HijackThis 2.0.2	TrendMicro	17.11.2009	0,39MB
Intel(R) PROSet/Wireless WiFi-Software	Intel(R) Corporation	07.11.2009	78,3MB
Internet Download Manager		09.11.2009	6,44MB
Java(TM) 6 Update 15	Sun Microsystems, Inc.	09.11.2009	95,0MB
JDownloader	AppWork UG (haftungsbeschränkt)	09.11.2009	52,7MB
JMicron JMB38X Flash Media Controller	JMicron Technology Corp.	07.11.2009	2,26MB
Meeting Secretary	 	07.11.2009	11,2MB
Microsoft .NET Framework 3.5 Language Pack SP1 - DEU	Microsoft Corporation	08.11.2009	37,0MB
Microsoft .NET Framework 3.5 SP1	Microsoft Corporation	07.11.2009	27,8MB
Microsoft Visual C++ 2005 Redistributable	Microsoft Corporation	13.11.2009	2,37MB
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17	Microsoft Corporation	07.11.2009	0,58MB
Mozilla Firefox (3.5.5)	Mozilla	08.11.2009	28,7MB
NVIDIA Drivers		07.11.2009	
NVIDIA PhysX	NVIDIA Corporation	13.11.2009	120,1MB
Photo Gadget	XemiComputers	10.11.2009	1,44MB
Program DJ	 	07.11.2009	4,82MB
Realtek 8169 8168 8101E 8102E Ethernet Driver	Realtek	07.11.2009	1,54MB
Realtek High Definition Audio Driver	Realtek Semiconductor Corp.	07.11.2009	21,8MB
Safety Guard	 	07.11.2009	3,35MB
Smart Watchdog		07.11.2009	8,77MB
Steam	Valve Corporation	15.11.2009	1,49MB
VLC media player 1.0.3	VideoLAN Team	08.11.2009	73,1MB
WinRAR		08.11.2009	3,82MB
Wireless Switch		07.11.2009	1,47MB
Wow Video&Audio utility	 	07.11.2009	843,3MB
         

Gmer:

Code: Alles auswählenAufklappen

ATTFilter

GMER 1.0.15.15227 - http://www.gmer.net
Rootkit scan 2009-11-20 14:13:02
Windows 6.0.6001 Service Pack 1
Running: 01kns1rx.exe; Driver: C:\Users\michael\AppData\Local\Temp\uxddifow.sys


---- System - GMER 1.0.15 ----

INT 0x52        ?                                                                                 86164F00
INT 0x72        ?                                                                                 86164F00
INT 0x82        ?                                                                                 84990BF8
INT 0x82        ?                                                                                 84990BF8
INT 0x82        ?                                                                                 84990BF8
INT 0x82        ?                                                                                 84990BF8
INT 0x82        ?                                                                                 86164F00
INT 0x82        ?                                                                                 86164F00
INT 0x82        ?                                                                                 86164F00
INT 0x82        ?                                                                                 84990BF8
INT 0x92        ?                                                                                 86164F00
INT 0xB2        ?                                                                                 86164F00
INT 0xB2        ?                                                                                 8498FBF8
INT 0xB2        ?                                                                                 8498FBF8
INT 0xB2        ?                                                                                 8498FBF8
INT 0xB2        ?                                                                                 8498FBF8
INT 0xB2        ?                                                                                 86164F00

Code            8837BBA8                                                                          ZwEnumerateKey
Code            88168380                                                                          ZwFlushInstructionCache
Code            882168FD                                                                          IofCallDriver
Code            8848926E                                                                          IofCompleteRequest

---- Kernel code sections - GMER 1.0.15 ----

.text           ntkrnlpa.exe!IofCompleteRequest                                                   81E6DFE2 5 Bytes  JMP 88489273 
.text           ntkrnlpa.exe!IofCallDriver                                                        81EEFF6F 5 Bytes  JMP 88216902 
PAGE            ntkrnlpa.exe!ZwFlushInstructionCache                                              81FE630B 5 Bytes  JMP 88168384 
PAGE            ntkrnlpa.exe!ZwEnumerateKey                                                       8203BBAC 5 Bytes  JMP 8837BBAC 
?               System32\Drivers\splh.sys                                                         Das System kann den angegebenen Pfad nicht finden. !
.text           USBPORT.SYS!DllUnload                                                             8A53C46F 5 Bytes  JMP 861644E0 

---- Kernel IAT/EAT - GMER 1.0.15 ----

IAT             \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUchar]         [806906D6] \SystemRoot\System32\Drivers\splh.sys
IAT             \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUchar]          [80690042] \SystemRoot\System32\Drivers\splh.sys
IAT             \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort]  [80690800] \SystemRoot\System32\Drivers\splh.sys
IAT             \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUshort]         [806900C0] \SystemRoot\System32\Drivers\splh.sys
IAT             \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort]   [8069013E] \SystemRoot\System32\Drivers\splh.sys
IAT             \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR]                [8069FB90] \SystemRoot\System32\Drivers\splh.sys

---- Devices - GMER 1.0.15 ----

Device          \FileSystem\Ntfs \Ntfs                                                            8531C1F8
Device          \FileSystem\fastfat \FatCdrom                                                     84FD01F8
Device          \Driver\sptd \Device\3169064009                                                   splh.sys
Device          \Driver\volmgr \Device\VolMgrControl                                              853191F8
Device          \Driver\usbuhci \Device\USBPDO-0                                                  861481F8
Device          \Driver\PCI_PNP1992 \Device\00000044                                              splh.sys
Device          \Driver\usbuhci \Device\USBPDO-1                                                  861481F8
Device          \Driver\usbuhci \Device\USBPDO-2                                                  861481F8
Device          \Driver\usbehci \Device\USBPDO-3                                                  853981F8
Device          \Driver\usbuhci \Device\USBPDO-4                                                  861481F8
Device          \Driver\usbuhci \Device\USBPDO-5                                                  861481F8
Device          \Driver\usbuhci \Device\USBPDO-6                                                  861481F8
Device          \Driver\volmgr \Device\HarddiskVolume1                                            853191F8
Device          \Driver\usbehci \Device\USBPDO-7                                                  853981F8
Device          \Driver\netbt \Device\NetBT_Tcpip_{BE817EA1-1A47-4A68-965C-3F2DA4BE785A}          884021F8
Device          \Driver\netbt \Device\NetBt_Wins_Export                                           884021F8
Device          \Driver\Smb \Device\NetbiosSmb                                                    884031F8
Device          \Driver\iScsiPrt \Device\RaidPort0                                                862C41F8
Device          \Driver\netbt \Device\NetBT_Tcpip_{CF0A700F-7124-4B7C-B196-90D166618AD6}          884021F8
Device          \Driver\usbuhci \Device\USBFDO-0                                                  861481F8
Device          \Driver\usbuhci \Device\USBFDO-1                                                  861481F8
Device          \Driver\usbuhci \Device\USBFDO-2                                                  861481F8
Device          \Driver\usbehci \Device\USBFDO-3                                                  853981F8
Device          \Driver\usbuhci \Device\USBFDO-4                                                  861481F8
Device          \Driver\usbuhci \Device\USBFDO-5                                                  861481F8
Device          \Driver\usbuhci \Device\USBFDO-6                                                  861481F8
Device          \Driver\usbehci \Device\USBFDO-7                                                  853981F8
Device          \Driver\a9downy1 \Device\Scsi\a9downy11Port9Path0Target1Lun0                      862B01F8
Device          \Driver\a9downy1 \Device\Scsi\a9downy11                                           862B01F8
Device          \Driver\JMCR \Device\Scsi\JMCR1                                                   8617E1F8
Device          \Driver\a9downy1 \Device\Scsi\a9downy11Port9Path0Target0Lun0                      862B01F8
Device          \Driver\JMCR \Device\Scsi\JMCR2                                                   8617E1F8
Device          \Driver\JMCR \Device\Scsi\JMCR3                                                   8617E1F8
Device          \Driver\JMCR \Device\Scsi\JMCR4                                                   8617E1F8
Device          \FileSystem\fastfat \Fat                                                          84FD01F8

AttachedDevice  \FileSystem\fastfat \Fat                                                          fltmgr.sys (Microsoft Dateisystem-Filter-Manager/Microsoft Corporation)

Device          \FileSystem\cdfs \Cdfs                                                            88FF61F8

---- EOF - GMER 1.0.15 ----
         

Ist da noch was zu machen? Ich bitte um Antwort

hi

1.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org

• Installieren und per Doppelklick starten.
• Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
• "Komplett Scan durchführen" wählen (überall Haken setzen)
• wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
• alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
• Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Malwarebytes Anti-Malware

2.
Bitte unbedingt alle vorhandenen externen Laufwerke inkl. evtl. vorhandener USB-Sticks an den Rechner anschließen, aber dabei die Shift-Taste gedrückt halten, damit die Autorun-Funktion nicht ausgeführt wird.
Den kompletten Rechner (also das ganze System) zu überprüfen (Systemprüfung ohne Säuberung) mit Kaspersky Online Scanner - wähle hier "My computer" aus und das Logergebnis speichern "Save as" dann posten
Vor dem Scan Einstellungen im Internet Explorer:
- "Extras→ Internetoptionen→ Sicherheit":
- alles auf Standardstufe stellen
- Active X erlauben