Trojaner-Board - rechner neu aufgespielt, aber da ist der wurm drin

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - rechner neu aufgespielt, aber da ist der wurm drin (https://www.trojaner-board.de/69876-rechner-neu-aufgespielt-wurm-drin.html)

rechner neu aufgespielt, aber da ist der wurm drin

hallo leute, ich werde wahnsinnig. ich würde mich nicht als anfänger, aber auch nicht als profi bezeichnen. also, mein rechner spinnt seit einigen tagen, nich lang fackeln, neu aufspielen, hab ich eh lange nicht gemacht. gesagt getan. mitlerweile habe ich das teil zum dritten mal neu installiert weil immer irgendwas nicht funktioniert hat. jetzt lässt sich antivir nicht installieren. also, hier mal mein everest bericht und darunter das hijack file. wenn irgendwem was auffällt bitte melden. irgendwie habe ich das gefühl da steckt noch der wurm drin. zur info, ich habe immer nur c formatiert, kann sich son wurm evtl. auch woanders verstecken?? falls ihr noch infos braucht, melden!

danke

Computer:
Betriebssystem Microsoft Windows XP Professional
OS Service Pack Service Pack 2
DirectX 4.09.00.0904 (DirectX 9.0c)
Computername BIE
Benutzername Elli

Motherboard:
CPU Typ Unknown, 1800 MHz (3.5 x 514)
Motherboard Name Unbekannt
Motherboard Chipsatz VIA Apollo PT880 Pro / PT880 Ultra / PT894
Arbeitsspeicher 1024 MB
BIOS Typ AMI (04/24/07)
Anschlüsse (COM und LPT) Kommunikationsanschluss (COM1)
Anschlüsse (COM und LPT) ECP-Druckeranschluss (LPT1)

Anzeige:
Grafikkarte NVIDIA GeForce 7600 GS (256 MB)
Monitor Medion MD1998LC [19" CRT] (038670712)

Multimedia:
Soundkarte VIA VT8237A/8251 High Definition Audio Controller

Datenträger:
IDE Controller VIA Bus-Master-IDE-Controller
SCSI/RAID Controller VIA VT8237A SATA RAID Controller
Floppy-Laufwerk Diskettenlaufwerk
Festplatte WDC WD800JB-00JJC0 (74 GB, IDE)
Festplatte ST380022A (80 GB, 7200 RPM, Ultra-ATA/100)
Festplatte Maxtor 3 2049H2 USB Device (20 GB, 5400 RPM, Ultra-ATA/100)
Optisches Laufwerk TSSTcorp CD/DVDW SH-S182M
S.M.A.R.T. Festplatten-Status OK

Partitionen:
C: (NTFS) 20002 MB (15458 MB frei)
D: (NTFS) 16002 MB (11196 MB frei)
E: (NTFS) 19539 MB (19474 MB frei)
F: (NTFS) 56305 MB (24677 MB frei)
G: (NTFS) 60306 MB (94 MB frei)
Speicherkapazität 168.1 GB (69.2 GB frei)

Eingabegeräte:
Tastatur Standardtastatur (101/102 Tasten) oder Microsoft Natural Keyboard (PS/2)
Maus HID-konforme Maus

Netzwerk:
Netzwerkkarte Realtek RTL8187B Wireless 802.11g 54Mbps USB 2.0 Network Adapter (192.168.220.118)
Netzwerkkarte VIA-kompatibler Fast Ethernet-Adapter

Peripheriegeräte:
Drucker Microsoft XPS Document Writer
USB1 Controller VIA VT83C572 PCI-USB Controller
USB1 Controller VIA VT83C572 PCI-USB Controller
USB1 Controller VIA VT83C572 PCI-USB Controller
USB1 Controller VIA VT83C572 PCI-USB Controller
USB1 Controller VIA VT83C572 PCI-USB Controller
USB1 Controller VIA VT83C572 PCI-USB Controller
USB2 Controller VIA USB 2.0 Enhanced Host Controller
USB2 Controller VIA USB 2.0 Enhanced Host Controller
USB-Geräte Realtek RTL8187B Wireless 802.11g 54Mbps USB 2.0 Network Adapter
USB-Geräte USB-HID (Human Interface Device)
USB-Geräte USB-Massenspeichergerät

Probleme und Hinweise:
Problem Auf Laufwerk G: ist nur noch 0% Speicher frei.

--------[ DMI ]---------------------------------------------------------------------------------------------------------

[ BIOS ]

BIOS Eigenschaften:
Anbieter American Megatrends Inc.
Version P2.70
Freigabedatum 04/24/2007
Größe 512 KB
Bootunterstützung Floppy Disk, Hard Disk, CD-ROM, ATAPI ZIP, LS-120
Fähigkeiten Flash BIOS, Shadow BIOS, Selectable Boot, EDD, BBS
Unterstützte Standards DMI, ACPI
Erweiterungen PCI, USB

[ System ]

System Eigenschaften:
Hersteller To Be Filled By O.E.M.
Produkt 775Dual-VSTA
Version To Be Filled By O.E.M.
Seriennummer To Be Filled By O.E.M.
Eindeutige Universal-ID 00020003-00040005-00060007-00080009
Startauslöser Netzschalter

[ Motherboard ]

Motherboard Eigenschaften:
Produkt 775Dual-VSTA

[ Gehäuse ]

Gehäuse Eigenschaften:
Hersteller To Be Filled By O.E.M.
Version To Be Filled By O.E.M.
Seriennummer To Be Filled By O.E.M.
Etikett To Be Filled By O.E.M.
Gehäusetyp Desktopgehäuse
Boot-Up Status Sicher
Netzteilstatus Sicher
Temperaturstatus Sicher
Sicherheitsstatus Keine

[ Speichercontroller ]

Speichercontroller Eigenschaften:
Fehlerkorrekturmethode 64-bit ECC
Fehlerkorrektur Keine
Unterstützter Speicher Interleave 1-Way
Aktueller Speicher Interleave 1-Way
Unterstützte Speichergeschwindigkeit 70ns, 60ns
Unterstützte Speichertypen DIMM, SDRAM
Unterstützte Speicherspannung 3.3V
Maximale Speichermodulgröße 2048 MB
Speichersteckplätze 2

[ Prozessoren / Intel(R) Core(TM)2 CPU 6300 @ 1.86GHz ]

Prozessor Eigenschaften:
Hersteller Intel
Version Intel(R) Core(TM)2 CPU 6300 @ 1.86GHz
Seriennummer To Be Filled By O.E.M.
Etikett To Be Filled By O.E.M.
Teilenummer To Be Filled By O.E.M.
Externer Takt 266 MHz
Maximaler Takt 1866 MHz
Aktueller Takt 1866 MHz
Typ Central Processor
Spannung 1.3 V
Status Aktiviert
Sockelbezeichnung CPUSocket

[ Cache / L1-Cache ]

Cache Eigenschaften:
Typ Intern
Status Aktiviert
Betriebmodus Write-Back
Maximale Größe 64 KB
Installierte Größe 64 KB
Fehlerkorrektur Parity
Sockelbezeichnung L1-Cache

[ Cache / L2-Cache ]

Cache Eigenschaften:
Typ Intern
Status Aktiviert
Betriebmodus Write-Back
Maximale Größe 2048 KB
Installierte Größe 2048 KB
Fehlerkorrektur Single-bit ECC
Sockelbezeichnung L2-Cache

[ Cache / L3-Cache ]

Cache Eigenschaften:
Typ Intern
Status Deaktiviert
Maximale Größe 0 KB
Installierte Größe 0 KB
Sockelbezeichnung L3-Cache

[ Speichermodule / DIMM0 ]

Arbeitsspeicher Eigenschaften:
Sockelbezeichnung DIMM0
Typ SDRAM
Installierte Größe 1024 MB
Aktivierte Größe 1024 MB

Logfile of HijackThis v1.99.1
Scan saved at 15:40:46, on 11.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20935)

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\WINXP\system32\nvsvc32.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\RUNDLL32.EXE
C:\WINXP\RTHDCPL.EXE
C:\WINXP\system32\ctfmon.exe
C:\Programme\REALTEK USB Wireless LAN Driver and Utility\RtWLan.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\29.tmp
C:\WINXP\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\hi\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
F2 - REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\Dokumente und Einstellungen\Elli\mjbk.exe \s
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - Global Startup: REALTEK USB Wireless LAN Utility.lnk = ?
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O11 - Options group: [TABS] Tabbed Browsing
O20 - Winlogon Notify: WgaLogon - C:\WINXP\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINXP\system32\wpdshserviceobj.dll
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe

Hallo

entweder gehst du nicht mit allen Updates versehen ins I-Net und infizierst dich oder Reinfektion durch eine verseuchte "Software".
Wie schaltest du dein WinXP frei:rolleyes:?

MFG

bevor ich ins netz gehe, kommt alles drauf. ich habe verschiedene kleine tools, messchange und so. ich installiere erstmal das letzte sp 2 vom januar danach software wie winamp und so weiter. das sind alles programme die ich schon ewig habe und die immer funktioniert haben. wenn ich ins netz muss, dann nur wegen antivir. also eigentlich sollte der rechner doch dann noch ohne virus sein oder nicht!?

so, xp habe ich ne version von nem freund, ich weiss, soll man nicht machen. aber bei meiner installations cd können mittlerweile mehrere .dll nicht mehr kopiert werden. überspringen bringt da ja wohl nix. meinste es könnte an xp liegen? bei meinem freund läuft die aversion aber super. meine probleme sind ja auch bei meiner xp version schon aufgetaucht.

Was ist mit dem SP3?

Und installier nicht jeden Schrott.

Aber wenn du die Version von deinem Freund hast, ist das OS nicht auf das Mainboard abgestimmt?

aber ich installiere doch die treiber von der asrock seite, reicht das nicht. wenn ich mir n neues xp kaufe, ist das doch auch nicht direkt auf mein mainboard abgestimmt?

welchen schrott?

sp 3 werde ich mal installieren.....

Nein wenn du dir eine extra Version kaufst ist das OK. Aber mit dem Mainboard bin ich mir nicht mehr sicher ich warte mal bis nochdigger antwortet.

Hallo

ich habe extra nachgefragt, weil es mir bei dieser Datei
C:\Dokumen te und Einstellungen\Elli\mjbk.exe
ein wenig schaudert:rolleyes:
Lass die Datei und ebenfalls diese
C:\WINXP\system32\29.tmp
mal hier Virustotal, hier virscan.org
oder hier Jotti überprüfen (kann einige Minuten dauern),
poste die gesamten Ergebnisse mit der Angabe der Größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben oder verlinke auf die Auswertung,
bitte auch wenn nichts gefunden wurde.

Software im allgemeinen (besonders das Bertiebssystem) muss eigentlich mittlerweile aktuell gehalten werden, da es Schadprogramme gibt, die bevor sie zuschlagen deinen Rechner auf Sicherheitslücken hin ausspähen um dann mit dem geeigneten Mittel deinen Rechner infizieren.

Ich würde dir raten ein eigenes Windows zuzulegen oder dich mal in der Linuxecke umzusehen .
Linux.de - Linux

EDIT: Ein normales WindowsXP ist i.d.R. nicht Hardwaregebunden.

MFG

29.tmp:

http://www.virustotal.com/de/reanalisis.html?0e12591acffca5913f3c3dfd9a727afe

mjbk.exe:

http://www.virustotal.com/de/analisis/f71a5152f9cb106837e87f8380caa024

Hallo

du hast die schlimmste Kombination aus Passwortstehlendem Rootkit Backdoor und Dateiinfizierenden Freunden auf dem System.

Es gibt für dich definitiv nur das Neuaufsetzen des Systems (mit eigenem XP;))
Ändere nach der Neuinstallation oder von einem sauberen System aus alle deine Pass- und Kennwörter.

!WICHTIG besonders für dich!
Wenn du eine Sicherung deiner Daten durchführen möchtest,
lass die Finger von ausführbare Dateien
und Dateien aus unsicheren Quellen wie P2P.

Musik, Videos, Bilder und Officedateien können i.d.R. problemlos gesichert werden,
sollten aber vor dem wiederverwenden mit einem aktuellem Antivirenprogramm überprüft werden.

MFG

na das sind ja mal tolle neuigkeiten!! naja, auf ein neues..

danke

hier mal mein neues file, glaube zwar nicht das alles weg ist, aber hab einiges geschafft glaube ich. irgend son scheiss hat sich an viele meiner .exe dateien gehängt. teilweise an treiber und sowas. also, is da noch was?? antivir findet jetzt nichts mehr, hab jetzt mehrere male gescannt und neustarts und neue treiber und so weiter. hab partitionen formatiert und alles gemacht.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:55:13, on 11.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20935)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINXP\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINXP\system32\nvsvc32.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINXP\RTHDCPL.EXE
C:\WINXP\system32\RUNDLL32.EXE
C:\WINXP\system32\ctfmon.exe
C:\Programme\REALTEK USB Wireless LAN Driver and Utility\RtWLan.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\QUAD Utilities\QUAD Registry Cleaner\QUAD Scheduler.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [QUAD Windows service] C:\Programme\QUAD Utilities\QUAD Registry Cleaner\QUAD Registry Cleaner.exe -h
O4 - HKCU\..\Run: [QUAD Scheduler] C:\Programme\QUAD Utilities\QUAD Registry Cleaner\QUAD Scheduler.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Global Startup: REALTEK USB Wireless LAN Utility.lnk = ?
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe

--
End of file - 4278 bytes

Bei deinem Rechner hilft nichts mehr! Du hast einen Rootkit Backdoor und Virut
bleibt auch nur eine Datei von Virut übrig geht das ganze Spiel von vorne los mal ganz abgesehen von "passwortstehlenden Rootkit Backdoor"

mist! was nun? alle .exe dateien löschen und nochmals neu aufsetzen? oder nen neuen rechner kaufen? alles formatieren? so ne sch....

Hast du schon neuaufgesetzt?

Die Anleitung ganz genau beachtet?