Festplatte übernommen. Nun geht die Virenjagt los..
 

Also, ich habe vor knapp 2-3 Monaten die Festplatte meiner Freundin übernommen, da meine Alte (Festplatte :P ) einen Headcrash hatte..

Nun geht es los, vor 3 Tagen habe ich Avast installiert, und seitdem habe ich mehr Probleme als zuvor.

Alle paar minuten:
BÖSARTIGE WEBSEITE BLOCKIERT
Objekt: longtrip-todayz.com / lkckclckl1i1i.com
Infektion: URL:Mal
Aktion: Blockiert
Prozess: C:\Windows\System32\svchost.exe

Oh!
Und eben währenddessen ich geschrieben habe:
TRIJANISCHES PFERD BLOCKIERT
Objekt: C:\Windows\Temp\fpxt\setup.exe
Infektion: Win32:AutoRun-BWQ [Trj]
Aktion: in Container verschoben
Prozess: C:\Windows\System32\svchost.exe




Desweiteren fällt ab und zu auch einfach mal der Ton aus.. da angeblich kein Soundtreiber installiert sei.

Im Taskmanager sehe ich, wie des öfteren versucht wird den inetexplorer zu öffnen.


Avast findet beim kompletten search ab und zu etwas.
Also mal nichts, und dann mal wieder 2 sachen.

Malwarebytes findet auch nur ab und zu etwas.

Bin auch bei der suche im Internet auf.. Agobot gekommen.
Da mehrere mp3 dateien irgendwie Infiziert waren.

HijackThis logfile:

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 14:30:28, on 04.05.2011

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\AVAST Software\Avast\AvastSvc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Microsoft IntelliType Pro\itype.exe

C:\Programme\Microsoft IntelliPoint\ipoint.exe

C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe

C:\Programme\Google\Update\1.2.183.13\GoogleCrashHandler.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\system32\RunDLL32.exe

C:\Programme\AVAST Software\Avast\avastUI.exe

C:\Julian\DAEMON Tools Lite\DTLite.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\SYSTEM32\taskmgr.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Microsoft IntelliPoint\ipoint .exe

C:\Programme\Microsoft IntelliType Pro\itype .exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Hama\Common\RaUI.exe

C:\Julian\SRWare Iron\iron.exe

C:\Julian\SRWare Iron\iron.exe

C:\Julian\SRWare Iron\iron.exe

C:\Julian\SRWare Iron\iron.exe

C:\Julian\SRWare Iron\iron.exe

C:\DOKUME~1\Jasmin\LOKALE~1\Temp\hki431.exe

C:\DOKUME~1\Jasmin\LOKALE~1\Temp\hki431.exe

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\3fWD62a4.exe

C:\Programme\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://google.icq.com/search/search_frame.php

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.myspace.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.telta.de/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by BIE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.telta.de:8080

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = telta.de;localhost;<local>;*.local

R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll

O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll

O4 - HKLM\..\Run: [itype] "C:\Programme\Microsoft IntelliType Pro\itype.exe"

O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"

O4 - HKLM\..\Run: [CreativeTaskScheduler] "C:\Programme\Creative\Shared Files\CTSched.exe" /logon

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit -login

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] C:\Programme\NVIDIA Corporation\nView\nwiz.exe /installquiet

O4 - HKLM\..\Run: [Gmatuheyekite] rundll32.exe "C:\WINDOWS\unicedojod.dll",Startup

O4 - HKLM\..\Run: [avast] "C:\Programme\AVAST Software\Avast\avastUI.exe" /nogui

O4 - HKCU\..\Run: [EPSON S21 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIFAE.EXE /FU "C:\WINDOWS\TEMP\E_S116.tmp" /EF "HKCU"

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Julian\DAEMON Tools Lite\DTLite.exe" -autorun

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-21-3139313620-4087832019-2877639560-1009\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User 'UpdatusUser')

O4 - HKUS\S-1-5-21-3139313620-4087832019-2877639560-1009\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\aolshare\AOLMIcon.exe (User 'UpdatusUser')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)

O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - hxxp://www.medionshop.de/ (file missing) (HKCU)

O14 - IERESET.INF: START_PAGE_URL=hxxp://www.telta.de/

O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://G:\content\include\XPPatchInstaller.CAB

O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_1115.cab

O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://G:\Content\include\msSecUcd.cab

O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - hxxp://install.serviceurl.de/StarInstall.ocx

O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - hxxp://chat.msn.com/controls/msnchat45.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll

O23 - Service: avast! Antivirus - AVAST Software - C:\Programme\AVAST Software\Avast\AvastSvc.exe

O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe

O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe

O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NVIDIA Updatus\daemonu.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe (file missing)

--

End of file - 8447 bytes

Was genau heißt übernommen? Es war eine Systemplatte mit Windows-Installation oder nur eine Datenplatte? Wurde sie formatiert und wenn nicht, warum nicht?

Was wird das? Wieso gurkst du nicht mit SP2/IE6 rum ?

Wollen wir nicht mehr sehen :nixda:

http://www.trojaner-board.de/images/icons/icon4.gif Bitte beachten http://www.trojaner-board.de/images/icons/icon4.gif => http://www.trojaner-board.de/95173-b...es-posten.html und http://www.trojaner-board.de/69886-a...-beachten.html

Argh!
bin einfach nur der hilfestellung gefolgt:
- Wenn Du die Logfiles erstellt hast, klicke hier um ein Thema zu erstellen! Beschreibe die Symptome so genau wie möglich.



Übernommen, samt BS und allen daten.
Wieso nicht formatiert?
Auf der platte sind noch zig daten meiner Freundin drauf, die sie sich alle mal sichern möchte. -.-

Benutze Chrome, nicht IE6.
Und wegen dem SP2.. dachte, dass sie irgendwann mal ihre daten sichert, damit ich das ding formatieren kann.

Deswegen würde ich die Festplatte jetzt sehr ungerne formatieren.. da sie die daten noch braucht.

Sry aber wieso nutzt du das völlig ungesicherte (ungepatchte!) von der Festplatte der Freundin, wenn es dir nur um Datensicherung ging, oder hab ich jetzt völlig den Sinn nicht verstanden?? :balla:

Na dann aber hurtig.

Ist irrelevant, der IE muss immer so aktuell wie möglich sein, da er eine Kernkomponente von Windows ist.

Warum nicht jetzt? Oder wollt ihr solange warten bis die Daten futsch sind? :headbang:

mir gehts nicht um datensicherung, ihr gehts um datensicherung. :E

ja, sie wollte schon vor 3 monaten die daten sichern.
aber ich denke, dass sie da nichts mehr sichern brauch, bei dem verseuchten mist.

ach und zur erleuterung.. sie wollte sich die daten sichern und auf ihr netbook kopieren.

hmpf, gute frage, ich werd dann mal so schnell wie möglich updaten.

Und es macht Sinn ein verseuchtes Windows zu aktualisieren? :pfeiff:
Willst du nicht lieber formatieren? Oder lieber bereinigen?

Achso!
dachte dass sich
aufs updaten bezog. :E

hm.. werde sie mal dazu zwingen heute ihren müll zu sichern.. wobei ich denke, dass das keinen sinn mehr macht.
da sogar schon in mp3's infizierte dateien gefunden wurden.

Echt :wtf:
Poste mal alle Logs über die Funde!

Ja, deswegen sagte ich ja, stichwort "Agobot".



Aber gut.. hat sich alles erledigt.
Nachdem die Einwirkungen der ganzen Infizierten Daten meine CPU zum überhitzen, und dann zum absturzt gebracht haben, habe ich mich entschieden die platte zu Formatieren.. ohne Rücksicht auf Verluste.