Guten Abend,
ich habe hier im Forum bereits ähnliche Probleme gefunden, allerdings waren sie mit meiner Problemstellung nicht "kompatibel".

Problem:
Vor einiger Zeit fanden zwei Trojaner den Weg auf mein System. Entfernt wurden diese von Kaspersky (30 Tage Test). Kaspersky habe ich wieder deinstalliert und Avira aufgespielt. Laut Avira ist mein System sauber (laut Kaspersky auch).

Spybot habe ich ebenfalls durchlaufen lassen. Keine Ergebnisse.
Den Internet Explorer verwende ich nicht. Mein Standardbrowser ist Opera.

Habe schon ein paar Dinge "Fix Checked", nach dem ich mich darüber Informiert hatte, wozu diese gut sind. Das waren unter anderem Toolbars für den IE.

Zitat:

O3 - Toolbar: FireShot - {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} - C:\Users\NamelesS\AppData\Roaming\Mozilla\Firefox\Profiles\aaowkmfe.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\library\fsaddin-0.69.dll (file missing)

Den Eintrag hatte ich eigentlich auch gelöscht. Kommt aber immer wieder zu Stande. Allerdings habe ich FireShot in meinem Firefox installiert (den ich aber egtl nicht mehr nutze).

Mir ist sonst nur aufgefallen, das total viele iexplorer.exe gestartet sind. Diese stammen aber nicht von mir.

Hijackthis Log:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:49:54, on 06.12.2009
Platform: Windows Vista  (WinNT 6.00.1904)
MSIE: Internet Explorer v8.00 (8.00.6001.18828)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Synaptics\SynTP\syntpenh.exe
C:\Program Files\Realtek\Audio\HDA\rthdvcpl.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Java\jre6\bin\jusched .exe
C:\Program Files\Realtek\Audio\HDA\rthdvcpl.exe
C:\Program Files\Synaptics\SynTP\syntpenh.exe
C:\Program Files\Realtek\Audio\HDA\rthdvcpl .exe
C:\Program Files\Synaptics\SynTP\syntpenh .exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Opera\opera.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Curse\CurseClient.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Adobe\Reader 9.0\Reader\reader_sl.exe
C:\program files\adobe\acrotray.exe
C:\program files\adobe\acrotray.exe
C:\program files\adobe\acrotray .exe
C:\program files\adobe\acrotray .exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\NamelesS\Desktop\HiJackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: FireShot - {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} - C:\Users\NamelesS\AppData\Roaming\Mozilla\Firefox\Profiles\aaowkmfe.default\extensions\{0b457cAA-602d-484a-8fe7-c1d894a011ba}\library\fsaddin-0.69.dll (file missing)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'NETZWERKDIENST')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe

--
End of file - 4530 bytes
         

Habe was festgestellt.. Es tauchen lauter bekannte .exe Dateien auf, mit einem "Leerzeichen" vor dem ".". Diese Dateien wurden zur Zeit erstellt als ich mich infiziert habe.

Solche Dateien tauchen ebenfalls auf: reader_sl.exe.delme137

Ich denke, ich bin ihn los.
Er hat nach meiner Beobachtung zu urteilen, folgendes gemacht: Nach dem Systemstart hat der Virus von einigen Anwendungen die .exe in "programm .exe" (man achte aufs Leerzeichen) unbenannt und eine gleichnamige "programm.exe" erstellt. Das hat er mit allen Programmen im Systemstart gemacht.
Acrotray, Adobe PDF Reader, Realtek WDM und jushed (Java). Wenn nicht alle entfernt sind, stellt es mit dem "Überbleibsel" die anderen wieder her usw.

Windows startet die "programm.exe" und die "programm.exe" startet die eigentliche (richtige) "programm .exe".

Wenn ich die .exe Dateien gelöscht habe, tauchten komische Dateien auf. Bsp.: jkiudiowaowi.ZOO usw. Nach dem killen der verdächtigen Prozesse trat das nicht mehr auf.

Bei mir hat im übrigen nur ein komplettes Entfernen der Programme was gebracht. Ansonsten sind die merkwürdigen " .exe" Dateien wieder aufgetaucht.

Ich installiere gerade die Programme wieder, aber zur Zeit habe ich Ruhe und seit dem Neustart hab ich im Process Explorer noch nichts merkwürdiges entdeckt.


Ach ja: Nach dem sich der Virus installiert hatte, tauchte im System Start "khalmnpr .exe" auf (msconfig). Diese lag in System32 Ordner wo sie nichts zu suchen hat. Dort lag auch eine "khalmnpr.exe". Beide Dateien hatten keine digitale Signatur von Logitech. Habe sie im Abgesicherten Modus entfernt. Die richtige "khalmnpr.exe" von Logitech mit digitaler Signatur liegt bei mir wo anders und vollrichtet Ihren Dienst.

Ich denke, die "khalmnpr .exe" war das Quell des Übels.
EDIT: Mir war auch aufgefallen, dass der Aufgabenplaner "taskeng.exe" immer versuchte "acrotray .exe" zu starten. In der Aufgabenverwaltung waren viele Einträge in verschiedenen Zeitabständen festgelegt, die die Verseuchte Datei ausführen sollten. Habe die Einträge manuell gelöscht.

Grüße,
ArcVieh - der endlich schlafe kann ...