TR/Rootkit.Gen & HTML/Infected.WebPage.Gen' & HEUR/HTML.Malware gefunden
 

Also diese 3 Funde waren im letzten Monat bei mir auf dem Rechner aufgetreten. Als erstes habe ich laut den Forenregeln ersteinmal vergleichbare Fälle gesucht, die gab es auch aber bei allen wurde geschrieben man soll ein sogenanntes HijackFile posten. Da mein Hijackfile keinem der anderen gleicht, habe ich diesen Thread eröffnet in der Hoffnung dass man mir helfen kann.

Zum einen hier nochmal die 3 Funde detailiert:

Die Datei 'C:\Users\xxx\AppData\Local\Temp\plugtmp-48\plugin-npdf.php'
enthielt einen Virus oder unerwünschtes Programm 'HEUR/HTML.Malware' [heuristic].
Durchgeführte Aktion(en):
Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a93ffaa.qua' verschoben!

In der Datei 'C:\Users\xxx\AppData\Local\Mozilla\Firefox\Profiles\yqsuelul.default\Cache\_CACHE_002_'
wurde ein Virus oder unerwünschtes Programm 'HTML/Infected.WebPage.Gen' [virus] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

In der Datei 'C:\Windows\System32\drivers\ntnus.sys'
wurde ein Virus oder unerwünschtes Programm 'TR/Rootkit.Gen' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben


Ich habe alle 3 Funde sofort in Quarantäne verschoben, da ich mal hier im Board gelesen habe, dass dies das beste sei (und nicht löschen)


Meine Originalsoftware von Microsoft (Vista) halte ich immer aktuell. Auf eine Freewarefirewall habe ich auf Anraten von vielen Forenexperten verzichtet und nur die Standardwindowsfirewall in Betrieb. Ich surfe nicht auf Seiten die ich nicht kenne und öffne keine Mails deren Absender ich nicht kenne. Dadurch habe ich mich sehr sicher gefühlt nun aber die Funde und sie beunruhigen mich doch sehr und ich weiß nicht was ich tun soll.


Hier nun dieser HijackReport (links habe ich analaog den Forenregeln editiert):

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:28:02, on 12.06.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18226)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\ASUS\Six Engine\SixEngine.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Winamp\winampa.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Skype\Phone\Skype.exe
C:\QvodPlayer\QvodTerminal.exe
C:\Program Files\Skype\Plugin Manager\skypePM.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\The Cleaner\cleaner6.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [QvodPlayer] C:\QvodPlayer\QvodTerminal.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-2217025095-4060059928-118558843-1001\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'premium')
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dllink.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Program Files\Free Download Manager\dlfvideo.htm
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Poker\Titan Poker\casino.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programs\PartyGaming\PartyPoker\RunApp.exe
O13 - Gopher Prefix:
O16 - DPF: {05D44720-58E3-49E6-BDF6-D00330E511D3} (StagingUI Object) - hxxp://zone.msn.com/binFrameWork/v10/StagingUI.cab55579.cab
O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} (MSN Games – Buddy Invite) - hxxp://zone.msn.com/BinFrameWork/v10/ZBuddy.cab55579.cab
O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} (ZonePAChat Object) - hxxp://zone.msn.com/binframework/v10/ZPAChat.cab55579.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - hxxp://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab56649.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} (MSN Games – Game Communicator) - hxxp://zone.msn.com/binframework/v10/StProxy.cab55579.cab
O16 - DPF: {F773E7B2-62A9-4524-9109-87D2F0BEFAA4} (ChessControl Class) - hxxp://zone.msn.com/bingame/zpagames/zpa_kqrp.cab56961.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5AF86004-312D-409C-A044-2133DEDE4179}: NameServer = 217.0.43.81 217.0.43.65
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - PostgreSQL Global Development Group - C:\Program Files\PostgreSQL\8.3\bin\pg_ctl.exe

--
End of file - 6933 bytes



Ich kann mir nicht vorstellen mir irgendetwas eingefangen zu haben, aber die Funde beunruhigen mich dennoch, auch wenn ich weiß das es oft zu Falschmeldungen kommt. Die Poker und Casinosoftware ist bewusst installiert da ich ab und zu auf diesen Seiten spiele.


Ich bin für jede Hilfe dankbar.



P.S. Ich hatte schon einmal hier im Forum Hilfe gesucht und leider keine Antwort/Hilfe erhalten, was ich natürlich auch nicht erwarte, da dies ein freiwilliger kostenloser Service ist. Aber sollte ich irgendwelche Regeln verletzt haben oder etwas nicht beachtet haben, wäre es schön wenn mich jemand darauf hinweist oder mir ein Forum nennt wo man gegen eine geringe Gebühr Hilfe bekommen kann.

Hast du Malwarebytes Anti-Malware schon ausgeführt? Wenn ja, stelle bitte die Logdatei auch hier rein. Falls nicht, dann folge dem Link und lese dir die Anleitung durch.

Es fehlt noch die Uninstall-Liste. Die erreichst du indem du HijackThis öffnest und dort folgendes machst:

1. Klicke auf "Open the Misc Tool section"
2. Dort auf "Open Uninstall Manager"
3. Klicke jetzt auf "Save List" und speichere sie auf dem Desktop.
4. Kopiere den Inhalt der Datei und füge ihn hier ein

Poste am besten alle Logs in einer Codebox. (["code"]Hier den Text["/code"], ohne die Anführungszeichen.

mfg Kaos

Vielen Dank für die Zeit die Du Dir nimmst.

Dies ist die Unistall Liste, die ich wie von Dir beschrieben erstellt habe.

Der Scanvorgang von Malewarebytes läuft noch und wird dann von mir ebenfalls gepostet.

Deinstalliere:

• Adobe Reader 9 - Deutsch (Es gibt Version 9.1 oder besser noch den FoxIt Reader installieren)
• Java(TM) 6 Update 13 (Aktuell ist Version 6 Update 14)
• The Cleaner 2010 (Das Teil ist meiner Meinung nach nicht empfehelenswert. Kann bei falscher Einstellung auch das System zerschiessen).

Java Update 14
FoxIt Reader

Deinstalliere auch andere Software, die du nicht mehr unbedingt benötigst.

mfg, Kaos

Bin am deinstallieren der von Dir genannten Programme und werde entsprechende Programme neu installieren die Du angegeben hast. Meine Programme auf meinem Rechner halte ich immer aktuell, d.h. alle Programme die drauf sind nutze ich auch. Was natürlich nicht bedeutet dass mal auch ein programm drauf ist was ich mich nicht traue zu löschen, weil es nach einem Windows/Systemprogramm aussieht. Aber ich versuche diesen Rechner hier (Wir haben noch einen anderen) absolut sauber und up to date zu halten, weil ich hiermit meine finanziellen transaktionen mache.

Maleware Check läuft noch.


nachtrag:

habe jetzt doch noch 3 weitere programme gelöscht die meiner Meinung nach nicht mehr benötigt werden.

3dmark (analyseprogramm)
Apple Updates (keine Ahnung was das ist, aber ich habe keinen Apple Computer)
QVOD Player (habe ich selten genutzt, nur brauchte ich ihn mal für einen Film, was aber jetzt unter VLC Player auch läuft)

Das neue Java und den Foxreader habe ich nun installiert, die 3 Programme die Du erwähnt hast deinstalliert und warte nun noch auf die Beendigung des Malwarebytesuchlaufes.



An :


AGEIA PhysX v7.09.13
MSXML 4.0 SP2 (KB936181)
MSXML 4.0 SP2 (KB941833)
MSXML 4.0 SP2 (KB954430)
EPU-6 Engine
marvell 61xx


habe ich mich nicht herangetraut weil ich nicht weiß was es ist, alle anderen Programme kenne ich und weiß das ich sie brauche.

Gut, es ist auch sehr wichtig sein System immer aktuell zu halten. Dabei kann Secunia PSI oder der Secunia-Onlinescan helfen (Dafür wird Java benötigt und der Zugriff muss erlaubt werden).

Service Pack 2 ist für Vista inzwischen erschienen und ebenso der Internet Explorer 8.

Ich bin jetzt auch offline, stelle das Malwarebytes-Log dann einfach hier rein.

mfg, Kaos

Der MalewareScan läuft immer noch, mir fallen die Augen schon zu aber ich hoffe er ist bald zu Ende. Mit dem Secunia PSI Tool habe ich alle Softwares auf den neuesten Stand gebracht (8 Stück, vorrangig diverse Player), nur 1 Sicherheitsbedrohung wird nach wie vor angezeigt und zwar die des Browsers Mozilla Firefox, obwohl ich die aktuelle Version 3.0.11 installiert habe, zeigt er immer wieder das an. Wahrscheinlich ein Fehler des Programms, da es keine aktuellere Version gibt.

Endlich, Malewarescan abgeschlossen ;)

"Der Scan wurde erfolgreich abgeschlossen. Keine infizierten Objekte. Klicken Sie auf Hauptmenü"

Und hier der Report:



Aber so gut das alles klingt, es wurden ja 3 Sachen gefunden im letzten Monat und heute, das liegt jetzt bei Antivir (kostenlose Version) in Quarantäne. Irgendwas muss doch dann kaputt sein am Rechner, oder sind das alles nur Falschalarme?

Des weiteren sehe ich gerade in diesem Log "Windows 6.0.6001 Service Pack 1" Ich dachte ich hätte SP2 drauf, da mein Windows ja so eingestellt ist dass alles aktualisiert wird automatisch.


So ich habe dann alles gepostet und gemacht was Du gesagt hast, ich bin wirklich sehr dankbar für Deine Hilfe, und werde nun für 2,5h schlafen bevor ich dann auf Arbeit muss :( Wenn ich morgen nachmittag von Arbeit komme, würde ich mich sehr freuen wenn Du Dein Resumee und Deine Empfehlungen bzgl. der Behandlung der Viren/Trojaner posten würdest.

LG Thea

Avira hat wohl alles löschen können, was nicht heißt, das jetzt wirklich alles weg ist, auch wenn -Malwarebytes- nichts gefunden hat, also lieber noch etwas weiter suchen.

1. Lade dir SuperAntiSpyware runter und führe es nach Anleitung aus (Nur Punkt 1-3)

2. Rootkitsuche mit Gmer:

• Lade dir Gmer von Gmer.net und entpacke es auf dem Desktop.
• Beende alle Programme (Auch Antrivirenprogramme, Firewalls etc. Und trenne dich von Internet).
• Starte jetzt Gmer (Dein System wird nun kurz gescannt, falls Gmer etwas findet klicke auf Ja, um einen vollständigen Scan zu machen).
• Drücke auf "Scan" (Falls dies nicht bereits gemacht wurde, weil etwas bei dem kurzen Scan gefunden wurde).
• Wenn der Scan fertig ist, drücke auf "Copy"
• Füge den Text hier im Board mit "STRG + V" ein

mfg, Kaos

Mit Superantispyware alles durchsucht: Folgende Ergebnisse: Meinen Namen habe ich durch XXXXX ersetzt



Leider habe ich die deutsche Version ausgewählt von Antispyware und die 4 Buttons die nach der Suche auftauchten waren zwar mti deutscher Schrift versehen aber unkomplett so dass man nicht lesen konnte was welche Button bedeutet, kann ich nun in die Pfade gehen und das alles manuell löschen?


Den 2. Schritt den Du empfohlen hast mache ich jetzt.



nachtrag

ich habe dann am ende nach der durchführung des 2. programms den weiterbutton entdeckt und alles bis auf die Einträge mit "Partypoker" gelöscht, weil ich dort hin und wieder spiele.

Nun den 2. Test gemacht, leider habe ich Antivir nicht beenden können (Über Strg Alt Ent -> Prozesse antivir.exe beenden ging nicht da Zugriff nciht möglich) Dazu habe ich noch Dein erstes programm offen weil ich noch nicht sicher bin wie ich welche Kreuze setze und welchen Button ich anklicke. Firewall habe ich ja keine, bis auf die Windowsfirewall die wahrscheilich auch noch an ist. Vom Internet habe ich mich getrennt und alle anderen Programme auch geschlossen.

Hier nun der Bericht.

Bzgl. des SUPERAntispyware habe ich jetzt den "WeiterButton" Entdeckt und habe nur die 13 Elemente die "Partypoker/partyaccount etc" enthalten ohne Häkchen gelassen (weil ich dort oft spiele) und alles andere mit Häkchen versehen und lt. Beschreibung in Quarantäne verschieben lassen. Die Software bittet mich nun den Rechner neuzustarten was ich hiermit auch tue und dann auch fertig bin mit den Suchläufen die Du vorgeschlagen hast.

Nochmals vielen Dank für Deine Hilfe, kann ich gar nicht oft genug wiederholen. Bei den 2 Programmen wurde nun ja eine Menge gefunden, im ersten habe ich wie oben beschrieben ja alles in Quarantäne verschieben lassen außer den 13 Elementen die von Partypoker sind. Bei dem 2. Programm habe ich nur gescannt und das Ergebnis gepostet.

Starte jetzt neu.

Das mit Antivir macht nichts, Gmer hat nichts finden können. Sieht so aus, als hätte Avira schon alles entfernt.

Dieser Casinodinger sind, auch wenn du sie benutzt, Adware und ich würde sienicht auf meinem System lassen. Aber das ist deine Entscheidung, wirklich schädlich sind sie nicht.

Diesen Fund fand ich allerdings etwas besorgniserregend. Deshalb noch ein paar weitere Scans.

1. Führe den CCleaner nach Anleitung aus

2. Lade dir Dr.Web CureIt und führe es nach der Anleitung im Link aus.

3. Scanne dein System mit Avira Antivir und den aggressiven Einstellungen

4. RSIT

• Lade Random's System Information Tool (RSIT) von random/random herunter,
• speichere es auf Deinem Desktop.
• Starte mit Doppelklick die RSIT.exe.
• Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
• Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
• Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
• Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

mfg, Kaos

CCLeaner habe ich ausgeführt und in beiden Punkten alle Fehler behoben.

Führe nun Schritt 2 durch.

Habe wie in der Anleitung beschrieben Dr.Web runtergeladen und im abgesicherten Modus ausgeführt. Allerdings nach ein paar laufenden Balken unten tat sich nichts mehr. Es stand unten etwas von Scannen von Boot HDD o.ä. und dann wars das auch, alle Optionen blieben Grau und es passierte einfach nichts mehr (also immer noch ohne das ich auf scan gedrückt habe, sondern direkt nach dem start wenn er kurz alles selber analysiert). Habe das dann im normalen Windowsmodus laufen lassen und hier genau das selbe. Passiert einfach nichts und ich kann auch nichts anklicken. Musste beide Male den Computer per Hand ausschalten, weil der Computer entweder gar nicht oder sehr zeitverzögert (20secs) reagierte.

Evtl. hängt das damit zusammen, dass wenn mein Rechenr hochfährt immer die Fehlermeldung "No Harddisc detected" kommt und das Programm bei der anfänglichen Abfrageroutine den Bootsector einer Harddisc durchsuchen will, ihn aber nicht findet?

Mein Computer ist so aufgebaut, dass ich 2 Festplatten habe und auf einer Windows Vista und auf der anderen Windows XP und ich am Anfang entsprechend auswählen kann von welcher Festplatte ich boote. Keine Ahnung ob das wichtig ist, aber es erklärt evtl. warum sich Dr.Web bei der anfänglichen Routineüberprüfung meines Rechners immer aufhängt wenn unten steht Scan Boot Hdd (o.ä. halt irgendwas mit festplatte und Boot)



Ich lasse nun als letzten Schritt Antivir mit aggressiven Einstellungen drüber laufen und RSIT.exe. Ich habe ab morgen 09:00 Uhr leider für eine Woche keine Möglichkeit ins Internet zu kommen, werde aber 1. den Bericht von Antivir mit den neuen Einstellungen , die Dateien von RSIT.exe hier noch posten und bis morgen 8:50 Uhr immer mal ins Forum schauen.

Ich danke Dir nochmal Kaos für Deine Zeit.