Hallo liebes Forum,

ich bin neu hier und hoffe Ihr könnt mir helfen.
Ich hab mir nen Virus/Trojaner eingefangen und ich weiß mir keinen Rat.

Den fehler bemerkte ich als sich bei google merkwürdige Fenster öffneten und immer Java startete. Zb. klickte ich in google auf den link "meinvz.de" und es erschien eine mir völlig unseriöse Seite.

Ich hab AntiVir mehrmals durchlaufen lassen. Hat den Virus "crypt.xpack.gen" erkannt und beseitigt. Dieser tauscht aber immer wieder neu auf.

Danach habe ich Spybot installier und durchlaufen lassen. Dieses Program hat auch viele Fehler behoben. Meinen Rechner habe ich von Spybot nachträglich "Imunisieren" lassen.

Nun fährt mein Rechner sehr langsam hoch und nach 5min stürzt er ohne Grund ab. Er rechnert wie wild und findet kein Ende.

Im Moment kann ich den Rechner nur noch im Abgesicherten Modus betrieben.

Hijack This hab ich auch durchlaufen lassen. Dieser meldet folgenden Trojaner O4 - HKCU\..\Run: [cleansweep.exe] C:\cleansweep.exe\cleansweep.exe.
Meine frage soll ich diese jetzt entfernen?

CCleaner habe ich noch nicht durchlaufen lassen. Ist das Programm ungefählich? Oder kann ich damit noch mehr falsch machen?

Hier mein Hijack This Log File
HiJackthis Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 06:35:56, on 02.07.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\****\Desktop\Ablage\Programme\HijackThis2.0.4.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
O1 - Hosts: 196.10.11.101 brsys
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [KnexStarter] C:\Programme\Gemeinsame Dateien\Hewlett-Packard\HP Device Communication Services\Appinterfaces\HPDeviceService.exe
O4 - HKLM\..\Run: [RunTasktray] "C:\Programme\Hewlett-Packard\HP Easy Printer Care\HPPRun.exe"   --regkeypath=Software\Hewlett-Packard\HP Easy Printer Care\HPPRun  --valuename=InstallTTM
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [TomcatStartup 2.5] C:\Programme\Hewlett-Packard\Toolbox\hpbpsttp.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "E:\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [cleansweep.exe] C:\cleansweep.exe\cleansweep.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Iralik] rundll32.exe "C:\WINDOWS\rasysc.dll",Startup
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: NumPlus.lnk = C:\dicad\strauti\numplus.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: hxxp://*.hp.com (HKLM)
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - hxxp://go.microsoft.com/fwlink/?linkid=58813
O17 - HKLM\System\CCS\Services\Tcpip\..\{7757BCCA-6175-4D6E-A4A0-88FB3F6850E4}: NameServer = 196.10.11.90
O17 - HKLM\System\CCS\Services\Tcpip\..\{B5497300-9469-4400-86BF-D9633BEC699F}: NameServer = 196.10.11.90
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA3E47F4-1D9C-414C-B65E-82DF77561B2F}: NameServer = 196.10.11.90
O18 - Protocol: HPDCS - {BA135F49-A12C-4E26-A2C4-6EA945999072} - C:\Programme\Gemeinsame Dateien\Hewlett-Packard\HP Device Communication Services\APP\hpdcsapp.dll
O18 - Protocol: hppfile - {C4E2084B-ED27-4893-A43D-488CA3F370E2} - C:\Programme\Hewlett-Packard\HP Easy Printer Care\HPPCtrls.dll
O18 - Protocol: hppsam - {C4E2084B-ED27-4893-A43D-488CA3F370E2} - C:\Programme\Hewlett-Packard\HP Easy Printer Care\HPPCtrls.dll
O18 - Protocol: hppzip - {C4E2084B-ED27-4893-A43D-488CA3F370E2} - C:\Programme\Hewlett-Packard\HP Easy Printer Care\HPPCtrls.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: CodeMeter Runtime Server (CodeMeter.exe) - WIBU-SYSTEMS AG - C:\Programme\CodeMeter\Runtime\bin\CodeMeter.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe

--
End of file - 8570 bytes
         

--- --- ---
Vorab schon mal vielen Dank für eure Hilfe
Gruß Terminus

Eine Bereinigung ist mitunter mit viel Arbeit für Dich verbunden.

• Bitte arbeite alle Schritte der Reihe nach ab.
• Lese die Anleitungen sorgfältig. Sollte es Probleme geben, bitte stoppen und hier so gut es geht beschreiben.
• Nur Scanns durchführen zu denen Du von einem Helfer aufgefordert wirst.
• Bitte kein Crossposting ( posten in mehreren Foren).
• Poste die Logfiles direkt in deinen Thread. Nicht anhängen ausser ich fordere Dich dazu auf. Erschwert mir nämlich das auswerten.

Hinweis: Ich kann Dir niemals eine Garantie geben, dass ich auch alles finde. Eine Formatierung ist meist der Schnellere und immer der sicherste Weg.
Solltest Du Dich für eine Bereinigung entscheiden, arbeite solange mit, bis dir jemand vom Team sagt, dass Du clean bist.

Vista und Win7 User
Alle Tools mit Rechtsklick "als Administrator ausführen" starten.

Schritt 1

Teatimer abstellen

Mit laufendem TeaTimer von Spybot Search&Destroy lässt sich keine Reinigung durchführen, da er alle gelöschten Einträge wiederherstellt. Der Teatimer muss also während der Reinigungsarbeiten abgestellt werden (lasse den Teatimer so lange ausgeschaltet, bis wir mit der Reinigung fertig sind):
Starte Spybot S&D => stelle im Menü "Modus" den "Erweiterten Modus" ein => klicke dann links unten auf "Werkzeuge" => klicke auf "Resident" => das Häkchen entfernen bei Resident "TeaTimer" (Schutz aller Systemeinstellungen) => Spybot Search&Destroy schließen => Rechner neu starten. Bebilderte Anleitung.


Schritt 2

start --> ausführen --> notepad (reinschreiben)
Kopiere nun folgenden Text aus der Code-Box in das leere Textdokument

Code: Alles auswählenAufklappen

ATTFilter

@echo off
cd \
md "%userprofile%\desktop\Upload"
copy "C:\WINDOWS\rasysc.dll" "%userprofile%\desktop\Upload\rasysc.dll.vir"
del /f "C:\WINDOWS\rasysc.dll"
rd /s /q C:\cleansweep.exe
reg delete /f "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v cleansweep.exe
reg delete /f "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v Iralik
shutdown -i -r -t 2
del%0
         

Speichere diese unter file.bat auf Deinem Desktop.
Wähle bei Dateityp alle Dateien aus.
Doppelklich auf die file.bat. Der Rechner wird danach neu starten
Vista- User: Mit Rechtsklick "als Administrator starten"

Note: Es sollte sich ein Ordner Upload am Desktop befinden. Diesen bitte nicht löschen

Schritt 3

Downloade OTS.exe und speichere es unbedingt auf Deinem Desktop. Doppelklick auf die OTS.exe
Wenn Dein Anti-Viren-Programm bei OTS Meldung macht, erlaube es.

• Mache einen Haken bei "Scan All Users und Include MD5".
• Kopiere folgenden Text in die Box.
  
  Code: Alles auswählenAufklappen

  ATTFilter

  NetSvcs
  Drivers32
  %SYSTEMDRIVE%\*.exe
  %systemroot%\*. /mp /s
  CREATERESTOREPOINT
  %systemroot%\system32\*.dll /lockedfiles
  %systemroot%\Tasks\*.job /lockedfiles
  %systemroot%\system32\drivers\*.sys /90
  %systemroot%\system32\ws2help.dll /md5
  HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
           

• Unter der Box klicke auf den Button.
  Hake nun folgende Einträge an:
  
  
  • Reg- Active Sub Paths
  • App Paths
  • Approved Shell Extensions
  • Disabled MS Config Items
  • File Lop Check
  • File Purity Check

  Mache währenddessen nichts anderes an dem Rechner.
  Wenn der Scan durchgeführt ist (Scan complete!), öffnet sich der Editor mit dem Logfile.
  Auch zu finden auf dem Desktop ( OTS.txt )

• Schließe nun alle laufenden Programme sowie deinen Browser.
• Klicke auf den links oben, um die Untersuchung zu starten

Hänge diese Log bitte hier an, die ist nicht gerade kurz.


Bitte poste in Deiner nächsten Antwort
OTS.txt

Hallo Daniel,

erstmal vielen Dank für deine Hilfe.
Schritt 1. habe ich ausgeführt.
Beim Neustart (Oberfläche, Benutzerkonten Auswahl) kam eine Meldung das eine Sytsemdatei wiederhergestellt werden musste. Welche stand dort nicht.

Zu Schritt 2.
Wenn ich die Datei (file.bat) anlege und Ausführe muss ich dann den Neustart im Normalen Modus hochfahren lassen? Oder geht das auch im Abgesicherten Modus?
Weil ich nur einwandfrei arbeiten kann wenn ich im Abgesicherten Modus bin?

Ander Frage, ist es ein Versuch wert einen Widerherstellungspunkt zu benutzen? Oder klappt dies eh nicht? Wenn ja, was geht dabei alles verloren?

Gruß Benni

zu 1. Keine Ahnung aber wenns keine FakeMeldung war werden wir noch dahinter kommen.

zu 2.
Nach der Batch solltes du im Normalmodus wieder arbeiten können. Es sei denn Du hast noch andere Probleme als Malware.

Systemwiederherstellung kann, muss aber nicht klappen. Vieles kopiert sich da als erstes rein.

Wenn ich nun die Datei Doppelt anklicke öffnet sich ein DOS Fenster wo drinne steht:

"Das System kann die angegebene Datei nicht finden.
C:\WINDOWS\rasysc.dll konnte nicht gefunden werden.
Das System kann die angegebene Datei nicht finden.

Fehler: Ungültiger Schlüsselname

Fehler: Ungültiger Schlüsselname"

Zusätzlich erscheint ein POPUP mit der Überschrift "Remote Computer herunterfahren"
Was ich entweder bestätigen oder Abbrechen kann.

Was soll ich tun?

Sorry mein Fehler

Code: Alles auswählenAufklappen

ATTFilter

@echo off
cd \
attrib -s -h -r C:\WINDOWS\rasysc.dll
del /f "C:\WINDOWS\rasysc.dll"
rd /s /q C:\cleansweep.exe
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v cleansweep.exe /f
reg delete "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v Iralik /f
shutdown -i -r -t 2
del%0
         

Ja der neustart muss bestätigt werden

So heute morgen war es mal wieder so weit, folgende Seite öffnete sich einfach so

h**p://safe-monitoring-9.in/phpbb/image/index.php?ID=105527&fb=WVRveU9udHpPamc2SW5WelpYSmtZWFJoSWp0aE9qTTZlM002TWpvaWFXUWlPM002TlRvaU1qZzVOamtpTzNNNk1USTZJbUZrZG1WeWRHbHpaVjlwWkNJN2N6bzJPaUl 4TURZek5qa2lPM002TkRvaWEzQndhU0k3VGp0OWN6b3pPaUp0WkRVaU8zTTZNekk2SW1ZeVptUmhZelJtTVRNM1pUUm1aVGN6TlRjMlpXRmtOek0xTXpneE5qa3dJanQ5


Als ich gestern in Google etwas gesucht habe und auf einen Link von Google geklickt habe kam ich nicht auf den Link, sondern immer auf ganz andere Seiten.
Hier mal die falschen verlinkungen

- h**p://jesuscaresaboutyou.org/search.php
- h**p://murrayfeiss.com/search.php
- h**p://click.top10recipes.com/r.php?h=f4bf7ac746782627988fb3adf3ed5c47&s=c&px=1&wf=1&ai=4614&fm=1591&st=videokonferenz+software+kostenlos&tos=1278335593
- h**p://decalsolutionspro.com/result.php?Keywords=videokonferenz+software+kostenlos&r=36ce98120b6d6573d46bd52673aa82bee727bd050a54a4449ffda37081cdd3a35811758d4054cb9fba87d8910752c8 4d&Submit=Go

Und meine Firewall meldete sich gerade, das sie eine Anwendung des Exploreres Geblockt hat?

Alles sehr eindeutige Zeichen das da irgendwas noch aufm Rechner ist.

Gruß Benni