Trojaner TR/VB.zlu
 

Hallo,

ich habe o. g. Trojaner auf meinem PC.
Hier die Auswertung des Logfile:
Könnte mir des jemand auswerten und mir weiterhelfen?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:08:46, on 30.12.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16945)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
C:\Programme\Windows Defender\MSASCui.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TomTom HOME 2\TomTomHOMEService.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
c:\programme\avira\antivir desktop\avcenter.exe
C:\Programme\Avira\AntiVir Desktop\avscan.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com/fsc/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/fuji/defaults/su/*http://www.yahoo.com
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing)
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [Epson Stylus CX3650] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P19 "Epson Stylus CX3650" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "c:\PROGRA~1\MESSEN~1\Msmsgs.exe" /background
O4 - HKCU\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /M "Stylus CX3600" /EF "HKCU"
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SBI] C:\Dokumente und Einstellungen\Richard\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UXZDSHTM\setup_sbd_de[1].exe
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.lokalisten.de/iup/ImageUploader4.cab
O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - https://safe.tele2.com/inc/accounthelper.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Programme\TomTom HOME 2\TomTomHOMEService.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 7402 bytes


Vielen lieben Dank wer mir weiterhelfen kann.

Hallo und :hallo:

Bitte diese Liste beachten und abarbeiten. Beim Scan mit MalwareBytes auch alle externen Speicher (ext. Platten, USB-Sticks, ... mit anklemmen!! )

Wichtig für Benutzer mit Windows Vista und Windows 7: Bitte alle Tools per Rechtsklick => Als Admin ausführen!

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Hallo

also gleich beim ersten Satz hab ich schon so ein Problem, was sind denn bitte MalwareBytes??? Sry, aber ich hab von dieser Fachsprache nicht allzu viel Ahnung :)

und welche Regel habe ich denn nicht beachtet?

dankeschön

Bitte die verlinkte Liste genau lesen.

Also hier der Link

http://www.file-upload.net/download-2122974/hijackthis.log.html

Ich hab aber weder externe Festplatten, noch irgendwelche USB-Speicher, oder Streamer, etc.

Die Trojaner befinden sich in folgenden Dateien:
1) C:\WINDOWS\sch.exe
2) C:\Dokumente und Einstellungen\Richard\Anwendungensdaten\Sun\Java\Deployment\cache\6.0\35\91c5e23-59a63007
3) C:\System Volume Information\_restore{AD9FB859-0946-4323-AF05-B90716727E87}\RP704\A0353713.exe

Hoffentlich haben ich jetzt alles mal richtig gemacht.
Danke im Voraus

Kann ich das wissen, ich bin kein Hellseher! Das ist ein Standardtext den ich poste, falls Du ext. Platten usw hast ist das dafür gedacht.

Was ist nun mit CCleaner, RSIT und Malwarebytes? Warum postest Du nur das hijackthis logfile? :confused:

http://www.file-upload.net/download-2123081/info.txt.html

http://www.file-upload.net/download-2123082/log.txt.html

sry, des malwarebytes dauert noch länger

http://www.file-upload.net/download-...9-58-.txt.html

logfile des Malwarebytes

Hast Du die Funde mitMalwarebytes entfernt? Da steht überall "-> No action taken."
Die anderen Logs schau ich mir gleich an.

Um ehrlich zu sein, hab ich die noch nicht entfernt, wollte nichts falsch machen.
Aber dann mach ich des jetzt.
http://www.file-upload.net/download-...2-24-.txt.html
Danke.

Okay, es wird Zeit für CF:

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir ComboFix hier herunter auf deinen Desktop. Benenne es beim Runterladen um in cofi.exe.

http://saved.im/mtm0nzyzmzd5/cofi.jpg

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Schliesse alle Programme, vor allem dein Antivirenprogramm und andere Hintergrundwächter sowie deinen Internetbrowser.

• Starte cofi.exe von deinem Desktop aus, bestätige die Warnmeldungen, führe die Updates durch (falls vorgeschlagen), installiere die Wiederherstellungskonsole (falls vorgeschlagen) und lass dein System durchsuchen.
  Vermeide es auch während Combofix läuft die Maus und Tastatur zu benutzen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte kopieren ([Strg]a, [Strg]c) und in deinen Beitrag einfügen ([Strg]v). Die Datei findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden, wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Ich kann die Datei nicht auf dem Desktop speichern, bei mir gab es nur die Auswahl: Datei speichern
und in dem Downloadfenster kann ich die Datei jetzt auch nur öffnen, aber nicht woanders speichern

Rechtsklick auf den Link => Speichern unter...

ah danke

jetzt hätte ich noch ne frage, ich bin grad bei dem 2.Punkt von diesem Reinigungsprogramm, Registry löschen und ich lösch jetzt schon seit ewigkeiten irgendwie dieselbe Datei. Ist das möglich oder läuft irgendwas schief?

Nein, das ist normal. Manche Einträge von AntiVir lassen sich nicht entfernen und sollen auch nicht entfernt werden ;)
Bitte den ignorieren.

Okay, dann ist hier das Logfile

http://www.file-upload.net/download-2132201/log5.txt.html

Da müssen wir nochmal ran :(
Bitte GMER ausführen und anschließend OTL, auch dann wenn GMER nicht läuft oder gar abstürzt:

Systemscan mit OTL

Lade Dir bitte OTL von Oldtimer herunter und speichere es auf Deinem Desktop

• Doppelklick auf die OTL.exe
• Vista User: Rechtsklick auf die OTL.exe und "als Administrator ausführen" wählen
• Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
• Unter Extra Registry, wähle bitte Use SafeList
• Klicke nun auf Run Scan links oben
• Wenn der Scan beendet wurde werden 2 Logfiles erstellt
• Poste die Logfiles hier in den Thread.

okay dann auf ein neues.

Jetzt hab ich nur schon wieder eine Frage, wenn ich mir dieses GMER downloade, dann kommt bei mir zwei Optionen
1) Datei speichern
2) Abrechen

wie gehe ich denn auf Nummer sicher um es auf dem Desktop zu sichern?

Sag speichern...
Dann landet die gmer.exe mit einem zufälligen Dateinamen in dem Ordner, wo standardmäßig Deine Downloads reinkommen, wo das ist müsstest Du eigentlich wissen. Seit Firefox 3.5 müsste das Eigene Dateien\Downloads sein. Wenn Du sie hast, kannst Du sie auf dem Desktop verschieben und ausführen.

Leider ist mein PC jetzt abgestürzt, während des GMer.
Mach ich das jetzt noch mal oder soll ich mir gleich das OTL downloaden?

Lass GMER und machs mit OTL

http://www.file-upload.net/download-2133372/OTL.Txt1.txt.html

http://www.file-upload.net/download-2133375/Extras.Txt1.txt.html

Das sieht für mich unauffällig aus. Mach nochmal bitte zur Kontrolle einen Scan mit Malwarebytes und poste das Log (kann direkt hier ins Posting rein)

Malwarebytes' Anti-Malware 1.43
Datenbank Version: 3477
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13

06.01.2010 15:15:16
mbam-log-2010-01-06 (15-15-16).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 289077
Laufzeit: 2 hour(s), 40 minute(s), 41 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


sieht gut aus, oder?

Jo ist ok. Wie verhält sich das System, noch Probleme? Wenn nicht, dann unbedingt die Updates prüfen:

Windows-/Internet Explorer Update
Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren. Vista-User: Anleitung Windows-Update
Es geht v.a. um den IE8, auch wenn Du ihn nicht nutzt.

Adobe Acrobat Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Wir empfehlen daher, die alte Version über Systemsteuerung => Software zu deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Starte den Rechner neu und downloade den aktuellen Acrobat-Reader herunter und installiere ihn.

Falls Dir der Adobe Acrobat Reader nicht gefällt, kannst Du alternativ auch Foxit PDF Reader installieren. Er ist "schlanker" und benutzt weniger Resourcen. Weitere Alternative: Sumatra PDF.

Wenn Du auf der Adobeseite bist, bitte auch sicherstellen, dass Du den aktuellen Flashplayer drin hast (pass auf dass Du den Haken beim Download bei McAfee rausmachst)


Java-Update
Veraltete Java-Installationen sind ein Sicherheitsrisiko, daher solltest Du die alten Versionen löschen (falls vorhanden) und auf die neuste aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Gut, hab jetzt beide neu installiert. Das System verhält sich bis jetzt ganz normal.

Kann ich dieses cofi, ccleanter, otl dann wieder deinstallieren?

Vielen Dank noch mal!!!!!

Die Programme musst Du nicht deinstallieren, die stören nicht!!

jetzt hätte ich noch ne andere Frage, ich arbeite jetzt mit dem IE und hab Mozialle deinstalliert. Allerdings erscheint nach ein paar Minuten: Die Website wurde geschlossen um den Computer zu schützen.
Ist da was bei meinen Einstellungen falsch?

Wieso willst Du mit dem IE "arbeiten"?!! :eek:
Mach das nicht wenn Dir was an der Computersicherheit liegt, nimm lieber Opera oder Firefox!!

Das Verhalten des IE ist dennoch nicht normal, auf welche Seite bist Du da gegangen oderist das bei jeder Seite? Ist der IE jetzt auch auf Version 8 aktualisiert?

das kommt auf jeder Seite und der IE ist auf dem neuesten Stand
gut dann werd ich jetzt firefox wieder installieren!

Setz die Einstellungen des IE in den Internetoptionen bitte mal alle auf Standard zurück.

Also Firefox ist wieder installiert und hab die Einstellungen alle zurückgesetzt!

Und? :confused:
Funktioniert der IE auch wieder? Den brauchst Du fürs manuelle Windows-Update!

ja funktioniert wieder alles

dankeschön:dankeschoen:

Geht doch! :daumenhoc