Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Virusprobleme behoben - PC wirklich sauber?? (https://www.trojaner-board.de/60132-virusprobleme-behoben-pc-wirklich-sauber.html)

Heidi 17.09.2008 20:07
Virusprobleme behoben - PC wirklich sauber??
 
ICh hatte gestern ganz plötzlich mit einem ziemlich starken Virus- und Malwarebefall zu kämpfen (10 verschiedene Viren, verschiedenste andere schädliche Programme), hab daraufhin das Windows neu aufspielen müssen (aber alle meine Daten und Einstellungen blieben erhalten) und jetzt zeigt kein Scan mit Spybot, Antivir, AVG oder Malwarebytes etwas an. Ist mein Computer wirklich wieder sauber?
Hier mein Hijackthis-logfile (Es erscheint mir ein bisschen kurz, aber das war alles, was rauskam, als ich auf "Computer scannen und Log-file erstellen" geklickt hab) :
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:03:01, on 17.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\NovaStor\NovaBACKUP\NMSAccess.exe
C:\Programme\NovaStor\NovaBACKUP\NSENGINE.exe
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\sm56hlpr.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\qlketzd.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: autobit.lnk = C:\sysprep\bit\bit.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: autobit.lnk = C:\sysprep\bit\bit.exe (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Öffnen mit WordPerfect - C:\Programme\WordPerfect Office X3\Programs\WPLauncher.hta
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0713E8D2-850A-101B-AFC0-4210102A8DA7} (Microsoft ProgressBar Control, version 5.0 (SP2)) - http://download.mcafee.com/molbin/Shared/ComCtl32/6,0,80,22/ComCtl32.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - Unknown owner - c:\programme\mcafee.com\agent\mcdetect.exe (file missing)
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - Unknown owner - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe (file missing)
O23 - Service: NMSAccess - Unknown owner - C:\Programme\NovaStor\NovaBACKUP\NMSAccess.exe
O23 - Service: NsEngine - NovaStor Corporation - C:\Programme\NovaStor\NovaBACKUP\NSENGINE.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

--
End of file - 6281 bytes

cosinus 18.09.2008 12:34
Hallo und :hallo:

Zitat:
Zitat von Heidi (Beitrag 374358)
... hab daraufhin das Windows neu aufspielen müssen (aber alle meine Daten und Einstellungen blieben erhalten)
Hast Du das System sauber neu aufgesetzt, also inkl. vorherigem Formatieren der Festplatte, oder Windows nur "übergebügelt"?

Code:
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
Du hast zwei Virenscanner mit Wächter installiert! Das ist unsinnig, denn die können sich gegenseitig aushebeln. Deinstalliere AVG oder AntiVir.

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Führe ein Windowsupdate durch, da fehlen mindestens das SP3 und der IE7!

Heidi 18.09.2008 16:54
Danke für die schnelle Antwort.
Nein, die Festplatte hab ich nicht formatiert. Ich weiß, dass ich zwei Virenprogramme hab, aber ich verwende immer nur eines davon. ;) Weiß schon, dass die sich sonst gegenseitig blockieren. :)
Wie kann ich das Windows-Update manuell starten?? Das geht sonst immer automatisch bei mir....

aber sonst ist der Computer okay, oder?

cosinus 18.09.2008 16:57
Wieso hast Du nicht formatiert? Das ist sonst kein neuaufsetzen. Das Log sieht zwar soweit sauber aus, aber ich frage mich welche Schädlinge denn vorher gefunden wurden.

Fürs Windowsupdate: Windowsupdateseite mit IE besuchen

Heidi 18.09.2008 17:33
Es war mir einfach zu viel arbeit, das ganze ding neu zu machen. ;)
Nur um einige der Schädlinge zu nennen: Virtumonde, coolwwwsearchsvchost1.zip, GEN/PwdZIP, RKIT/Clbd.JY, BDS/Agent.rfv, BDS/Agent.rfw. BDS/Agent.roc, BDS/Agent1002, und noch 5 bist 10 andere, deren Namen ich mir nicht notiert hab und die mir jetzt nicht mehr einfallen. Es war irgendwas mit Backdoor-Trojanern und so Kram. Ich hab noch das Log von Malwarebytes, falls es dich interessiert. Da hatte ich schon einen Teil gekillt:
Code:
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.

Infizierte Dateien:
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\blphc5f1j0e74a.scr (Trojan.FakeAlert) -> No action taken.
Antivir-Protokolle:
Code:
Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Heidi\Lokale Einstellungen\Temp\.tt1B.tmp.vbs
    [FUND]      Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002
    [HINWEIS]  Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Heidi\Lokale Einstellungen\Temp\.tt7.tmp.vbs
    [FUND]      Enthält Erkennungsmuster des VBS-Scriptvirus VBS/Agent.1002
    [HINWEIS]  Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Heidi\Lokale Einstellungen\Temp\nsc26.tmp\euladlg.dll
    [FUND]      Ist das Trojanische Pferd TR/FakeAV.AM
    [HINWEIS]  Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Heidi\Lokale Einstellungen\Temp\nsrE.tmp\euladlg.dll
    [FUND]      Ist das Trojanische Pferd TR/FakeAV.AM
    [HINWEIS]  Die Datei wurde gelöscht.
C:\WINDOWS\system32\phc5f1j0e74a.bmp
    [FUND]      Ist das Trojanische Pferd TR/Fakealert.AAF
    [HINWEIS]  Die Datei wurde gelöscht.


Ende des Suchlaufs: Dienstag, 16. September 2008  16:09
Benötigte Zeit:  1:44:37 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  7245 Verzeichnisse wurden überprüft
 436148 Dateien wurden geprüft
      5 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
      5 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      0 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      2 Dateien konnten nicht durchsucht werden
 436141 Dateien ohne Befall
  7318 Archive wurden durchsucht
      2 Warnungen
      5 Hinweise
Code:
Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\CoolWWWSearchSvchost1.zip
    [FUND]      Enthält verdächtigen Code GEN/PwdZIP
    [HINWEIS]  Der Fund wurde als verdächtig eingestuft.
    [HINWEIS]  Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '493f05fe.qua' verschoben!
C:\System Volume Information\_restore{B6744C44-4251-4C4B-844C-2E50437E3AC7}\RP0\A0000005.dll
    [FUND]      Enthält Erkennungsmuster des Rootkits RKIT/Clbd.JY
    [HINWEIS]  Die Datei wurde gelöscht.
C:\System Volume Information\_restore{B6744C44-4251-4C4B-844C-2E50437E3AC7}\RP0\A0000007.dll
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{B6744C44-4251-4C4B-844C-2E50437E3AC7}\RP1\A0000008.dll
    [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.rfv
    [HINWEIS]  Die Datei wurde gelöscht.
C:\System Volume Information\_restore{B6744C44-4251-4C4B-844C-2E50437E3AC7}\RP1\A0000009.dll
    [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.rfw
    [HINWEIS]  Die Datei wurde gelöscht.
C:\System Volume Information\_restore{B6744C44-4251-4C4B-844C-2E50437E3AC7}\RP1\A0000010.dll
    [WARNUNG]  Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{B6744C44-4251-4C4B-844C-2E50437E3AC7}\RP1\A0000011.sys
    [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Agent.roc
    [HINWEIS]  Die Datei wurde gelöscht.


Ende des Suchlaufs: Dienstag, 16. September 2008  23:09
Benötigte Zeit:  1:56:21 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

  7026 Verzeichnisse wurden überprüft
 427541 Dateien wurden geprüft
      4 Viren bzw. unerwünschte Programme wurden gefunden
      1 Dateien wurden als verdächtig eingestuft
      4 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      1 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      4 Dateien konnten nicht durchsucht werden
 427532 Dateien ohne Befall
  7322 Archive wurden durchsucht
      4 Warnungen
      5 Hinweise
Danke für die Update-addy!

cosinus 19.09.2008 17:07
Und aus dem reparierten Windows heraus wird nix mehr gefunden?

Heidi 19.09.2008 17:57
Nein, absolut gar nichts.
Wobei zu sagen ist, dass ich Windows nicht "repariert" hab (das hat nicht funktioniert. Auch die Backup-CD war nicht fähig, das Betriebssystem zu patchen) sondern die Option mit dem ganz neu aufspielen von Windows gewählt hab.

cosinus 19.09.2008 17:59
Zitat:
Zitat von Heidi (Beitrag 375175)
sondern die Option mit dem ganz neu aufspielen von Windows gewählt hab.
Ähem, das musst Du mal genauer erläutern. Wie genau hast Du die Installation vorgenommen?

Von einer normalen Windows-CD gebootet und erneut auf die Systempartition installiert? Dabei nach der Abfrage das Dateisystem so belassen? :confused:

Heidi 19.09.2008 19:12
nur um das gleich zu klären: War im aktuellen Log (das ganz erste) irgendwas verdächtiges oder nicht?
Tja, und dann muss ich sagen, dass ich nicht genau weiß wie ich das jetzt wieder hingebogen hab. Der Computer is nach dem Scannen und Problementfernen mit Malwarebytes einfch gecrasht und ließ sich danach nicht mehr hochfahren. (die Seite wo normalerweise dann die Auswahl der Benutzer kommt, blieb einfach schwarz. ohne Maus. ohne alles. Selbst im abgesichteren Modus) Also hab ich mir die Windows-CD gegriffen, die mit dem Computer geliefert worden ist, und sie einfach eingelegt und das Gerät gestartet. Ich hab dann mehrere Menüs und Auswahlpunkte bekommen. Unter anderem die Option, das Windows zu "reparieren" (hab ich versucht. Hat nicht geklappt) oder eben das Windows neu zu installieren. Das hab ich dann gemacht. Hat ein oder zwei Stunden gedauert weil er die ganzen systemordner neuschreiben musste und die Daten von der CD runterkopieren und alles. Manche Einstellungen durfte ich dann neu machen, andere hat er beibehalten und beim erneuten Startversuch war alles wieder wie vorher. Sogar das Hintergrundbild war noch da.
um das genau zu beschreiben, müsste ich die CD nochmal einlegen, und den Prozess nochmal machen :D

cosinus 20.09.2008 10:34
Zitat:
Zitat von Heidi (Beitrag 375210)
nur um das gleich zu klären: War im aktuellen Log (das ganz erste) irgendwas verdächtiges oder nicht?
Nein. D.h. aber nicht, dass man Schädlingbefall zu 100% ausschließen kann. :rolleyes:
Ich glaube aber die Methode kam einem neuaufsetzen gleich, anscheinend arbeitet Deine Windows-CD mit Sysprep, hab da auch nen Eintrag im Hijackthis-Logfile zu gefunden. ;)

Heidi 20.09.2008 21:32
Also bist du der Meinung, dass ich jetzt relativ sicher bin, oder?

Und: Vielen Danke für deine Hilfe!:knuddel:


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:27 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129