Trojanisches Pferd TR/PSW.Agent.mrh
 

Hallo, seid heute zeigt mir Avira Antivir beim öffnen von Internetexplorer und bei Firefox das oben genannte Trojanische Pferd an. Habe hier mal das Hijack logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:59:20, on 14.04.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ULI5289\ALi5289.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Windows\svcinit.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Cellvision\IEEE 802.11b+g USB2.0 Adapter\GenericUtility.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sponsoree.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ALi5289] C:\Programme\ULI5289\ALi5289.exe
O4 - HKLM\..\Run: [UVS10 Preload] C:\Programme\Ulead Systems\Ulead VideoStudio 10.0\uvPL.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [svcinit] C:\Windows\svcinit.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: USB WLan Utility.lnk = ?
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 5252 bytes

:hallo:

Bitte fixxe

beende den prozess

Und lasse die Datei

Bei VirusTotal - Free Online Virus and Malware Scan überprüfen! Kommt, dass die Datei schonmal analysiert wurde, klicke trotzdem auf "Analysieren".

Ich kann nicht editieren:

Wenn Du die Datei überprüfen gelassen hast, kopiere uns bitte alles her.
Mit Prüfsummen, einfach die ganze Seite!

Die Datei die ich überprüfen soll habe icxh schoneinmal überprüft und nichts gefunden. Das ist lediglich die Datei der Sofware meines W-lan Sticks.
Habe den eintrag gefixt. Hier nochmal ein Hijack logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:49:17, on 14.04.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16791)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\ULI5289\ALi5289.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Cellvision\IEEE 802.11b+g USB2.0 Adapter\GenericUtility.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sponsoree.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ALi5289] C:\Programme\ULI5289\ALi5289.exe
O4 - HKLM\..\Run: [UVS10 Preload] C:\Programme\Ulead Systems\Ulead VideoStudio 10.0\uvPL.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: USB WLan Utility.lnk = ?
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 5221 bytes

Es handelt sich bei der Infektion um den Sinit Trojaner. Dieser eraubt Vollzugriff auf den Rechner und sollte daher nicht unzulänglich beseitigt werden!

Bereinigung nach einer Kompromitierung

Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird.

Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist.

Master Boot Record überprüfen:

Lade dir die mbr.exe von gmer auf den Desktop und führe die Datei mit Administrator-Rechten aus.

Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck indiziert, musst du eine Bereinigung vornehmen.

Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.
Ändere die Endung der mbr.txt.bat in mbr.bat Eine vernünftige Ordneransicht ist dafür nötig.
Dann führe die mbr.bat. durch einen Doppelklick aus.
Dabei muss sich die mbr.exe von gmer ebenfalls auf dem Desktop befinden!

Der MBR wird bereinigt und es erscheint ein log. Dieses log solltest du hier posten!

Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen.

Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:

Neuaufsetzen des Systems mit abschließender Absicherung.

Wenn du diese Anleitung zum Neuaufsetzen nicht ganz genau befolgst ist das Neuaufsetzen sinnlos!

Alle Festplatten müssen komplett formatiert werden!

Daten solltest du am besten keine sichern.
Wenn du sehr wichtige, unersetzliche Dateien sichern möchtest so musst du dies nach strengen Kriterien tun:

a) Die Datei darf nicht ausführbar sein. Das heisst sie darf keine der hier aufgeführte Dateiendung haben. Beachte bitte, dass einige Schädlinge ihre Dateiendung tarnen. Abhilfe schafft hier eine vernünftige Ordneransicht.

b) Jede Datei sollte, bevor sie wieder auf den frischen Rechner gelangt mit MWAV/eScan durchsucht werden.

c) Auch wenn du die Punkte a) und b) ganz genau einhältst sind die Dateien nicht vertrauenswürdig!!
Schädlinge können auch nicht-ausführbare Dateien wie .mp3 .doc usw. infizieren!! Und MWAV sowie andere AV-Scanner findet nur einen Bruchteil aller infizierten Dateien!

Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!!


-----------------------------------------

@ DJ-D: bitte beacht in Zukunft unbedingt folgende Hinweise:
Für alle zukünftigen (lernenden) Helfer

okay undo....

Dann lern ich lieber was von Dir, anstatt nich gut zu helfen... :headbang:

Du solltest lieber von allen alten Hasen hier lernen... :)

Und das meiste musst du dir so oder so selber beibringen. Lesen hilft....


Und nun bitte Off-Topic Blasen Ende!

Kurz noch:

Solangsam verstehe ich mehr. Es hilft wirklich zu lesen!

gibt es keine möglichkeit den Trojaner ohne neuaufsetzten des Systems loszuwerden?

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Markiere jeweils eine Zeile, kopiere sie und füge sie bei Virustotal ein. Sollte die Meldung kommen, dass die Datei schon analysiert wurde, dann klicke trotzdem auf Analysieren.

ciao, andreas

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.101 2009.04.14 -
AhnLab-V3 5.0.0.2 2009.04.14 -
AntiVir 7.9.0.143 2009.04.14 PCK/FSG
Antiy-AVL 2.0.3.1 2009.04.14 -
Authentium 5.1.2.4 2009.04.14 W32/Heuristic-210!Eldorado
Avast 4.8.1335.0 2009.04.14 -
AVG 8.5.0.285 2009.04.14 Suspicion: unknown virus
BitDefender 7.2 2009.04.14 -
CAT-QuickHeal 10.00 2009.04.14 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.04.14 -
Comodo 1113 2009.04.14 -
DrWeb 4.44.0.09170 2009.04.14 -
eSafe 7.0.17.0 2009.04.13 -
eTrust-Vet 31.6.6455 2009.04.14 -
F-Prot 4.4.4.56 2009.04.14 W32/Heuristic-210!Eldorado
Fortinet 3.117.0.0 2009.04.14 -
GData 19 2009.04.14 -
Ikarus T3.1.1.49.0 2009.04.14 -
K7AntiVirus 7.10.703 2009.04.14 -
Kaspersky 7.0.0.125 2009.04.14 -
McAfee 5584 2009.04.14 New Malware.d
McAfee+Artemis 5584 2009.04.14 New Malware.d
McAfee-GW-Edition 6.7.6 2009.04.14 Packer.FSG
Microsoft 1.4502 2009.04.14 -
NOD32 4007 2009.04.14 probably unknown NewHeur_PE
Norman 6.00.06 2009.04.14 W32/Packed_FSG.D
nProtect 2009.1.8.0 2009.04.14 -
Panda 10.0.0.14 2009.04.14 -
PCTools 4.4.2.0 2009.04.14 Trojan-PWS.OnlineGames.AHRG
Rising 21.25.14.00 2009.04.14 -
Sophos 4.40.0 2009.04.14 Mal/TibsPk-A
Symantec 1.4.4.12 2009.04.14 Suspicious.MH690.A
TheHacker 6.3.4.0.306 2009.04.12 -
TrendMicro 8.700.0.1004 2009.04.14 PAK_Generic.001
ViRobot 2009.4.14.1692 2009.04.14 -
VirusBuster 4.6.5.0 2009.04.14 Packed/FSG

Lade die Datei C:\Windows\svcinit.exe bitte nach dieser Anleitung (ab Punkt 2) bei uns hoch. Das müssen wir genauer untersuchen.

Die Meldung von McAfee ist ja sehr hilfreich. :schmoll:

Lasse zuerst MalwareBytes laufen, vielleicht wissen wir ja dann schon mehr.

ciao, andreas

Hallo,
habe die Datei bei euch hochgeladen und malwarebytes drüber laufen lassen, das auch sofort die datei gefunden hat. Habe die datei dann entfernt und dannach nocheinmal drüberlaufen lassen und Malwarebytes hat nichts mehr gefunden. Aber dann hat mir mein Avira Antivir eine neue meldung angezeigt. Hier der text:

In der Datei 'C:\System Volume Information\_restore{C77BE1F4-D179-4C87-A8C5-83CCE507B253}\RP71\A0004863.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/Trash.Gen' [trojan] gefunden.

Helft mir plsss keiner antwortet bei meinem prob :(

Poste bitte das Log von MalwareBytes.

Ich habe mittlerweile auch Nachricht von Threatexpert:
ThreatExpert Report: Trojan-PWS.OnlineGames.AHRG, Suspicious.MH690, Mal/TibsPk-A, Mal/Packer

Das ist eine Falschmeldung. Ignorieren.

Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

Weiter mit http://www.trojaner-board.de/51871-a...tispyware.html (nur Punkt 1-3)

ciao, andreas

Hier der Bericht vol Malwarebytes. habe die datei dann ja mit der software gelöscht:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 1987
Windows 5.1.2600 Service Pack 2

15.04.2009 23:53:54
mbam-log-2009-04-15 (23-53-49).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 106759
Laufzeit: 37 minute(s), 42 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\svcinit.exe (Fake.Dropped.Malware)

Leider kann ich mir Superantispyware nicht downloaden. Es bricht immer bei 75 Prozent ab. Hab es von 2 Seiten versucht und mit IE7 und Firefox aer immer das selbe

Versuche den: Datei Upload, Bilder hochladen, Datei Hosting auf Materialordner.de

ciao, andreas

Das bricht auch bei 75 % ab. Irgendwas scheint mein PC gegen diese datei zu haben

Dann lade sie halt mit einem anderen PC runter und benutze einen Memorystick o.ä.

ciao, andreas

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 04/17/2009 at 08:07 PM

Application Version : 4.26.1000

Core Rules Database Version : 3849
Trace Rules Database Version: 1803

Scan type : Complete Scan
Total Scan Time : 00:34:20

Memory items scanned : 424
Memory threats detected : 0
Registry items scanned : 3835
Registry threats detected : 0
File items scanned : 45470
File threats detected : 42

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@indextools[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@adrevolver[2].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@ad.yieldmanager[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@tradedoubler[2].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@zanox[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@euroclick[2].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@www.active-tracking[2].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@ad.bauerverlag[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@adtech[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@doubleclick[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@serving-sys[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@euros4click[2].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@tracking.quisma[2].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@mediaplex[2].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@ad.71i[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@statse.webtrendslive[2].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@bs.serving-sys[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@zbox.zanox[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@www.zanox-affiliate[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@ads.quartermedia[2].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@www.etracker[2].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@tto2.traffictrack[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@atdmt[2].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@ad.zanox[2].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@apmebf[2].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@smartadserver[2].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@atwola[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@advertising[2].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@traffictrack[2].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@ad.ambiweb[2].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@adserver.71i[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@xiti[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@de.sitestat[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@track.webtrekk[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@ads.heias[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@webmasterplan[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@ad.ad-srv[2].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@fastclick[1].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@ads.softure[2].txt
C:\Dokumente und Einstellungen\Lenny\Cookies\lenny@media.adrevolver[1].txt

OK. SuperAntiSpyware deinstallieren und den Kasper hinterher. Sollte der nichts mehr finden, dann hast du es geschafft. :)

Kaspersky Online Scan

Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten.

• Kaspersky Online Scanner
  • Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
  • Java muss installiert, aktiv und erlaubt sein.
  • Bebilderte Anleitung von sundavis.
  • Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
  • Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
  • Die Datenschutzerklärung akzeptieren.
  • Programm installieren lassen.
  • Update der Signaturen installieren lassen.
  • Wenn der Status "Complete" ist,
  • Scan-Einstellungen (Settings) Standard lassen
  • Links den Link "My Computer" anklicken.
  • Scan beginnt automatisch.
  • Wenn der Scan fertig ist, auf "View scan report" klicken,
  • "Save report as" und Dateityp auf .txt umstellen,
  • und auf dem Desktop als Kaspersky.txt speichern.
  • Logdatei hier posten.
  • Deinstallation ist nicht nötig, alle Dateien werden in temporären Ordnern gespeichert.

ciao, andreas

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0 REPORT
Saturday, April 18, 2009
Operating System: Microsoft Windows XP Home Edition Service Pack 2 (build 2600)
Kaspersky Online Scanner version: 7.0.26.13
Program database last update: Saturday, April 18, 2009 11:21:09
Records in database: 2058036
--------------------------------------------------------------------------------

Scan settings:
Scan using the following database: extended
Scan archives: yes
Scan mail databases: yes

Scan area - My Computer:
A:\
C:\
D:\
E:\

Scan statistics:
Files scanned: 55790
Threat name: 1
Infected objects: 1
Suspicious objects: 0
Duration of the scan: 01:06:47


File name / Threat name / Threats count
C:\WINDOWS\system32\kbdqbfu.dll Infected: Trojan-PSW.Win32.Agent.mrh 1

The selected area was scanned.

Anleitung Avenger (by swandog46)

Lade dir das Tool Hopsassa und speichere es auf dem Desktop:

• Doppelklick auf das Avenger-Symbol http://saved.im/mzi3ntr4adf5/trert.jpg

• Kopiere nun folgenden Text in das weiße Feld bei -> "input script here"

http://saved.im/mzi3ndg3nta0/aven.jpg

• Schliesse nun alle Programme und Browser-Fenster

• Um den Avenger zu starten klicke auf -> Execute
• Dann bestätigen mit "Yes" das der Rechner neu startet

• Nachdem das System neu gestartet ist, findest du einen Report vom Avenger unter -> C:\avenger.txt

• Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

ciao, andreas

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\kbdqbfu.dll" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Wo kam der denn plötzlich her? Hast du in der Zwischenzeit irgendetwas installiert?

http://www.trojaner-board.de/54192-a...tellungen.html

ciao, andreas

Ich weiß nicht, der war glaub ich bei dem Trojaner mit bei :confused:
Ist denn jetzt alles sauber?

Weiß nicht, der letzte Fund gefällt mir gar nicht. Jetzt wird auf "Teufel komm raus" gescannt.

ciao, andreas

mhh, soll ich jetzt noch einen Avira Antivir scan machen mit den aggressieven Einstellungen oder noch einen mit Kaspersky Onlinescanner?

Kasper hast du schon, jetzt ist Avira dran.

ciao, andreas

okay, Avira scan läuft

Der Suchlauf nach versteckten Objekten wird begonnen.
Es wurden '44659' Objekte überprüft, '0' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avconfig.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GenericUtility.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALi5289.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SOUNDMAN.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiapsrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ULCDRSvr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '35' Prozesse mit '35' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '56' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Samstag, 18. April 2009 14:23
Benötigte Zeit: 25:23 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

3403 Verzeichnisse wurden überprüft
145850 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
145849 Dateien ohne Befall
1045 Archive wurden durchsucht
1 Warnungen
0 Hinweise
44659 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Zur Sicherheit noch zwei hinterher.

1.) CureIT Dr.Web

• Downloade Dr.Web CureIt!
• Speichere es auf deinem Desktop.
• Entpacke es in einen eigenen Ordner.
• Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

• Lass alle Malware in den Quarantaene Ordner verschieben.
• Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr.Web CureIt! abstellen.
• Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

• Speichere das Logfile - siehe Anleitung - und poste es.

2.) Überprüfe den Rechner mit PrevXCSI.

ciao, andreas

habe beide Programme durchlaufen lassen. Beide haben nichts gefunden. Ist mein PC jetzt wieder sauber?

Ja, bist entlassen.

Alle Programme, die wir eingesetzt haben, deinstallieren/löschen.

Schönes Wochenende,
andreas

Das hört sich gut an. Vielen dank das du dir die Zeit genommen hast