Trojaner-Board - Mein PC spielt total verrückt

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Mein PC spielt total verrückt - bitte um Hilfe!!! (https://www.trojaner-board.de/30433-pc-spielt-total-verrueckt-bitte-um-hilfe.html)

falls es hilft, meine letzten beiden quarantines von norton (von anfang des monats):

Complete scanning result of "507123EA.dll", received in VirusTotal at 07.07.2006, 23:29:26 (CET).
Antivirus Version Update Result
AntiVir 6.35.0.21 07.07.2006 no virus found
Authentium 4.93.8 07.07.2006 no virus found
Avast 4.7.844.0 07.07.2006 no virus found
AVG 386 07.07.2006 no virus found
BitDefender 7.2 07.07.2006 Backdoor.Cakl.B
CAT-QuickHeal 8.00 07.07.2006 no virus found
ClamAV devel-20060426 07.07.2006 no virus found
DrWeb 4.33 07.07.2006 no virus found
eTrust-InoculateIT 23.72.61 07.07.2006 no virus found
eTrust-Vet 12.6.2291 07.07.2006 no virus found
Ewido 3.5 07.07.2006 no virus found
Fortinet 2.77.0.0 07.06.2006 no virus found
F-Prot 3.16f 07.07.2006 no virus found
F-Prot4 4.2.1.29 07.07.2006 no virus found
Ikarus 0.2.65.0 07.07.2006 no virus found
Kaspersky 4.0.2.24 07.07.2006 Backdoor.Win32.Cakl.d
McAfee 4802 07.07.2006 no virus found
Microsoft 1.1481 07.01.2006 no virus found
NOD32v2 1.1650 07.07.2006 no virus found
Norman 5.90.23 07.07.2006 no virus found
Panda 9.0.0.4 07.07.2006 no virus found
Sophos 4.07.0 07.07.2006 no virus found
Symantec 8.0 07.07.2006 no virus found
TheHacker 5.9.8.170 07.07.2006 no virus found
UNA 1.83 07.06.2006 no virus found
VBA32 3.11.0 07.06.2006 no virus found
VirusBuster 4.3.7:9 07.07.2006 no virus found

Aditional Information
File size: 26184 bytes
MD5: 5a22bb601d247de7ea16c5fc8ec51765
SHA1: 1e6e80265a871db61e3d957b8ad027f6fe406ed2
packers: XORCrypt

Complete scanning result of "0493409E.exe", received in VirusTotal at 07.07.2006, 23:32:50 (CET).
Antivirus Version Update Result
AntiVir 6.35.0.21 07.07.2006 no virus found
Authentium 4.93.8 07.07.2006 no virus found
Avast 4.7.844.0 07.07.2006 no virus found
AVG 386 07.07.2006 no virus found
BitDefender 7.2 07.07.2006 Backdoor.Cakl.B
CAT-QuickHeal 8.00 07.07.2006 no virus found
ClamAV devel-20060426 07.07.2006 no virus found
DrWeb 4.33 07.07.2006 no virus found
eTrust-InoculateIT 23.72.61 07.07.2006 no virus found
eTrust-Vet 12.6.2291 07.07.2006 no virus found
Ewido 3.5 07.07.2006 no virus found
Fortinet 2.77.0.0 07.06.2006 no virus found
F-Prot 3.16f 07.07.2006 no virus found
F-Prot4 4.2.1.29 07.07.2006 no virus found
Ikarus 0.2.65.0 07.07.2006 no virus found
Kaspersky 4.0.2.24 07.07.2006 Backdoor.Win32.Cakl.d
McAfee 4802 07.07.2006 no virus found
Microsoft 1.1481 07.01.2006 no virus found
NOD32v2 1.1650 07.07.2006 no virus found
Norman 5.90.23 07.07.2006 no virus found
Panda 9.0.0.4 07.07.2006 no virus found
Sophos 4.07.0 07.07.2006 no virus found
Symantec 8.0 07.07.2006 no virus found
TheHacker 5.9.8.170 07.07.2006 no virus found
UNA 1.83 07.06.2006 no virus found
VBA32 3.11.0 07.06.2006 no virus found
VirusBuster 4.3.7:9 07.07.2006 no virus found

Aditional Information
File size: 19528 bytes
MD5: 22b16c139cd096583d215c7cefb85ba3
SHA1: 63a7bb1883816a2745c05fdbd32dca1006f526a4
packers: XORCrypt

und nun der nächste schritt:

ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 23:53:06 07.07.2006

+ Scan-Ergebnis:

HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\WhenUSave -> Adware.SaveNow : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\WINDOWS\system32\__delete_on_reboot__n_t_s_w_r_l_3_2_._d_l_l_ -> Backdoor.Cakl.a : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\WINDOWS\system32\ldapi32.exe -> Backdoor.Cakl.a : Mit Backup gesäubert (unter Quarantäne gestellt).
[1112] C:\WINDOWS\system32\ntswrl32.dll -> Backdoor.Cakl.a : Fehler während der Säuberung.
[2276] C:\WINDOWS\system32\ntswrl32.dll -> Backdoor.Cakl.a : Fehler während der Säuberung.
[2536] C:\WINDOWS\system32\ntswrl32.dll -> Backdoor.Cakl.a : Fehler während der Säuberung.
[2548] C:\WINDOWS\system32\ntswrl32.dll -> Backdoor.Cakl.a : Fehler während der Säuberung.
[2560] C:\WINDOWS\system32\ntswrl32.dll -> Backdoor.Cakl.a : Fehler während der Säuberung.
[3192] C:\WINDOWS\system32\ntswrl32.dll -> Backdoor.Cakl.a : Fehler während der Säuberung.
C:\WINDOWS\system32\__delete_on_reboot__n_t_c_v_x_3_2_._d_l_l_ -> Backdoor.Dosia : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\Dokumente und Einstellungen\Michael\Cookies\michael@partygaming.122.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert.
C:\Dokumente und Einstellungen\Michael\Cookies\michael@promarkt.122.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert.
C:\Dokumente und Einstellungen\Michael\Cookies\michael@e-2dj6wfloekdjckp.stats.esomniture[1].txt -> TrackingCookie.Esomniture : Gesäubert.
C:\Dokumente und Einstellungen\Michael\Cookies\michael@e-2dj6whkiskdzsgp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert.
C:\Dokumente und Einstellungen\Michael\Cookies\michael@e-2dj6wjlygpdjebp.stats.esomniture[2].txt -> TrackingCookie.Esomniture : Gesäubert.
C:\Dokumente und Einstellungen\Michael\Cookies\michael@adopt.euroclick[1].txt -> TrackingCookie.Euroclick : Gesäubert.
C:\Dokumente und Einstellungen\Michael\Cookies\michael@ivwbox[2].txt -> TrackingCookie.Ivwbox : Gesäubert.

::Berichtende

Und was ist mit ewido? Und dem Rest?
Der Sever kann auch mal nicht erreichbar sein.

hab blacklight doch noch gefunden :o :

07/07/06 23:56:54 [Info]: BlackLight Engine 1.0.42 initialized
07/07/06 23:56:54 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/07/06 23:56:54 [Note]: 7019 4
07/07/06 23:56:54 [Note]: 7005 0
07/07/06 23:56:59 [Note]: 7006 0
07/07/06 23:56:59 [Note]: 7011 1112
07/07/06 23:56:59 [Note]: 7026 0
07/07/06 23:56:59 [Note]: 7026 0
07/07/06 23:56:59 [Note]: 7024 3
07/07/06 23:56:59 [Info]: Hidden process: C:\WINDOWS\system32\vssms32.exe
07/07/06 23:56:59 [Note]: FSRAW library version 1.7.1019
07/08/06 00:01:52 [Note]: 7002 0
07/08/06 00:01:52 [Note]: 7003 1
07/08/06 00:02:48 [Note]: 7007 0

also:

ewido durch, blacklight durch, clearprog durch...

ich mach mal das hjt...bis gleich

und da wärs:

Logfile of HijackThis v1.99.1
Scan saved at 00:04:37, on 08.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\Dit.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\vssms32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
c:\progra~1\intern~1\iexplore.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\Programme\Trend Micro\Tmas\Tmas.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\Programme\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE
C:\Programme\Opera\Opera.exe
C:\Programme\Microsoft Works\MSWorks.exe
C:\Dokumente und Einstellungen\Michael\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://deesc.netfirms.com/mob/lan
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {7D79278F-EA3A-DBA1-D601-E5E5B2E028CE} - (no file)
O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Internet Security\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [vssms32] C:\WINDOWS\system32\vssms32.exe
O4 - HKCU\..\Run: [JavaUpdate0.07] C:\WINDOWS\System32\dnxyeca.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [SFS6] "C:\Programme\Steganos Secure FileSharing 6\sfs.exe" /booting
O4 - HKCU\..\Run: [Amok hold] C:\DOKUME~1\Michael\ANWEND~1\JUMPBA~1\dogprogram.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Trend Micro Anti-Spyware.lnk = C:\Programme\Trend Micro\Tmas\Tmas.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: MedionShop - {01E9CF82-AE9D-42BA-A629-B23D51A4B86B} - http://www.medionshop.de/ (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com/
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-9.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/272f56c27105adcdda18/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1136924046343
O16 - DPF: {7BA7BCE2-D359-4407-82D9-CDF9A74C487A} (DownLoadStub Class) - http://www.hpphoto.com/downloads/DownloadPhotos.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex/EPSControl_v1-32.cab
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InCD Helper (InCDsrv) - Unknown owner - C:\Programme\Ahead\InCD\InCDsrv.exe (file missing)
O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Programme\Norton Internet Security\ISSVC.exe
O23 - Service: Ethernet Packet Service (npacketservice) - Unknown owner - C:\WINDOWS\system32\npacketsvc.exe (file missing)
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Internet Security\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

beim reboot kam jetzt auch noch so ein dos-eingabefenster... am ende der pfadangabe stand "usersafe.exe", den rest konnte ich so schnell nicht erkennen...

Zitat:

Zitat von drietjesicht

beim reboot kam jetzt auch noch so ein dos-eingabefenster... am ende der pfadangabe stand "usersafe.exe", den rest konnte ich so schnell nicht erkennen...

Wobei kam was? Drücke Dich mal klarer aus.

wie gesagt, bin kein experte,sorry...aber als der desktop sich laaaaangsam aufbaute ging so ein fenster auf (schwarz mit grauer umrandung - wie früher bei DOS) und direkt wieder zu

Zitat:

Zitat von drietjesicht

.aber als der desktop sich laaaaangsam aufbaute ging so ein fenster auf (schwarz mit grauer umrandung - wie früher bei DOS) und direkt wieder zu

Da du das Öffnen des Programms nicht veranlasst hast, ist dass ein eindeutig schlechtes Zeichen.
Weiterhin deutet alles darauf hin, dass auf deinem PC ein Bot installiert ist (siehe Signatur). Meines Erachtens folgender:

http://www.sophos.de/security/analyses/trojbdooryp.html

Da zusätzlich Blacklight vssms32.exe anmeckert (passt) und Ewido die ntswrl32.dll auch als Backdoor einstuft (passt auch), ist der Fall eindeutig und jede weitere Überprüfung Zeitverschwendung, es handelt sich um o.g. Malware:

1. Dein System ist eindeutig kompromittiert

2. Daraus folgt, dass nur ein Neuaufsetzen des Systems in Betracht kommen kann.
Warum sollte klar sein, da du meine Links gelesen hast.

Sorry, aber bei dir ist der "Worst-Case" eingetreten.

Gruß-cronos

Edit: Ich sehe gerade, das irrlicht die Diagnose schon am Anfang des Threads stellte.