Befall mit Antivirus XP 2008 und UPS-Virus
 

Hallo liebe Helfer,
erst einmal herzlichen Dank für dieses wundervolle Forum, wo sich auch ungeübte Benutzer wohl fühlen können.

Mein Problem sind UPS-Virus (ich wartete dringend auf ein Paket) und Antivirus XP 2008 (an diesem Tag suchte ich nur eine Telefonnummer). Ich hatte einen Bildschirmschoner, der einen Windows-Absturz simulierte, diverse Fenster mit Warnhinweisen, lästige Fenster mit Kaufofferten. Eine Systemwiederherstellung klappte ebenso nicht wie Löschungen im abgesicherten Modus (nach Selbsthilfeanleitungen aus dem Internet).

Auf meinem PC läuft Windows XP SP2, Internet Explorer 6.0, AntiVir für KEN als Lizenz. AntiVir konnte mir nicht helfen aber zunächst scheinbar Ad-Aware Se personal und Spybot Search & Destroy. Beim nächsten Scan war jedoch vieles wieder da.

In Ihrem Forum las ich von Malwarebytes' Anti-Malware. Ich habe es zweimal laufen lassen, anschließend HijackThis. Könnten Sie sich bitte die beigefügten drei Logfiles ansehen, ob bei mir jetzt alles in Ordnung ist? Danke schon einmal im voraus.

Herzliche Grüße
Ulla

PS: Ich versuche, die Logfiles als Code einzufügen, in der Vorschau schaut es nicht so aus, als habe ich es richtig gemacht?



Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1089
Windows 5.1.2600 Service Pack 2

19:55:33 27.08.2008
mbam-log-08-27-2008 (19-55-33).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 80916
Laufzeit: 26 minute(s), 37 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 2
Infizierte Registrierungsschlüssel: 50
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 5
Infizierte Dateien: 13

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\suzkaco.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\blphcgsgj0eg4c.scr (Trojan.FakeAlert) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\suzkaco (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ratoolbar.ietoolbar (Adware.SoftMate) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ratoolbar.ietoolbar.1 (Adware.SoftMate) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ratoolbar.ratoolbar (Adware.SoftMate) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\ratoolbar.ratoolbar.3 (Adware.SoftMate) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\tbsb00001.tbsb00001 (Adware.SoftMate) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\tbsb00001.tbsb00001.3 (Adware.SoftMate) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{09fc30bb-8163-4211-9ad5-e394bb821dd4} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0abf2ab4-f61f-4034-9120-d8b81a61a476} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0b15a970-3600-484c-ad29-da866e7b14fd} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{0ce76896-b612-465d-a5b8-a07dc1f2f596} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{119ddd5b-7b88-41d5-9156-ce69030afe61} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{1882370d-c294-4607-9ecf-2c3f0bc3fd23} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{25b18194-40d4-4640-86e2-548caeda81be} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{337740e2-8d2c-49e9-b93e-9cb52e65bd87} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{36e4149a-0923-4735-895b-1c02c410a00d} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{6ac7595f-094e-47f6-8578-39f105349fe6} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{7a8236e2-565e-44fd-9f81-9c8686365613} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{8a077461-06f2-4a9f-940e-9428ea8accbe} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{94d2ffc4-186e-4061-864e-41502c792bf0} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{9c3cf303-9d50-476d-bcc3-13e664e73a2c} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{a6d1f76e-ba02-4e05-9835-567a555e5312} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{a72cddcc-8026-489a-b6e2-11639f15760b} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{ae0e943e-37ba-405d-a2c7-1db44d3b9707} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{b42989c4-38cc-425b-95ee-26c3b34e113a} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{b511a4e5-82dc-40bb-ac16-c7af39e50b11} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{be383095-ee2d-4202-8314-02d7801bc1c2} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{c8ebda8c-2aad-4695-921c-d4c388199cce} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{d631e193-5223-4079-adea-1f72b2a8cc3e} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{eac65987-4ff5-46da-9168-fb9667153b84} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{ebd5ffc6-b42a-4eb0-a72d-0ee23d3aeb65} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{18d4ca2d-e313-49c5-8b15-65ded4540663} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{7e9746a6-fcd9-468c-8e65-84fb7571703e} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{4509d3cc-b642-4745-b030-645b79522c6d} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{4897bba6-48d9-468c-8efa-846275d7701b} (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Trojan.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\xbtb03004.ietoolbar (Adware.SoftMate) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\xbtb03004.ietoolbar.1 (Adware.SoftMate) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\xbtb03004.xbtb03004 (Adware.SoftMate) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\xbtb03004.xbtb03004.3 (Adware.SoftMate) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{00bbc39a-b87b-4d5b-82fd-15bfb89be9a0} (Adware.DosPopToolbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{055cd4ae-97b0-40c3-ba50-ba24084b43de} (Adware.DosPopToolbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{165cc0ae-37b0-49c3-bacf-bad4080b432d} (Adware.DosPopToolbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{9ebb289a-2d7b-465b-825f-1530b813e95a} (Adware.DosPopToolbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{cd5c92ae-97b0-4bc3-ba65-ba0308d543bf} (Adware.DosPopToolbar) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{f5bb069a-a87b-485b-82da-155ab8d7e94b} (Adware.DosPopToolbar) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpsr (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphcgsgj0eg4c (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\inrhclsgj0eg4c (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhclsgj0eg4c (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhclsgj0eg4c\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhclsgj0eg4c\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhclsgj0eg4c\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\rhclsgj0eg4c\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\suzkaco.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\blphcgsgj0eg4c.scr (Trojan.FakeAlert) -> Delete on reboot.
C:\Programme\RA-MICRO\RAToolbar\tbhelper.dll (Trojan.BHO) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lphcgsgj0eg4c.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phcgsgj0eg4c.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pphcgsgj0eg4c.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.ttC.tmp.exe (Trojan.FakeAlert) -> Delete on reboot.
C:\WINDOWS\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.tt5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.tt7.tmp (Trojan.Downloader) -> Delete on reboot.
C:\WINDOWS\Temp\.tt8.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.ttC.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\.ttE.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.


Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1089
Windows 5.1.2600 Service Pack 2

15:03:46 29.08.2008
mbam-log-08-29-2008 (15-03-46).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 81168
Laufzeit: 25 minute(s), 18 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\tcpsr (Rootkit.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:01:16, on 29.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir fuer KEN!\avguard.exe
C:\Programme\AntiVir fuer KEN!\sched.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\Programme\KEN!\KENCLI.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sage\SageDB 5.0\bin\mysqld-nt.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\htpatch.exe
C:\Programme\AntiVir fuer KEN!\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\KEN!\kentbcli.exe
C:\Programme\Nero\Nero 7\InCD\NBHGui.exe
C:\Programme\Nero\Nero 7\InCD\InCD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\TeaTimer.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Java\jre1.5.0_06\bin\jucheck.exe
C:\Programme\Nero\Nero 7\Core\nero.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://192.168.22.220:3128/ken.html
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=192.168.22.220:3128;https=192.168.22.220:3128;ftp=192.168.22.220:3128;socks=192.168.22.220:1080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: XBTB03004 - {C543F87B-D228-466C-8432-A6F7D1C44565} - C:\Programme\RA-MICRO\RAToolbar\ramicro_toolbar.dll
O2 - BHO: RAToolbar - {EF8E1F96-FF80-4E85-AD4F-0F19166E21DB} - C:\Programme\RA-MICRO\RAToolbar\ramicro_toolbar.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\system32\khooker.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir fuer KEN!\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl04e\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] "C:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [KEN Taskbar Client] "C:\Programme\KEN!\kentbcli.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SecurDisc] C:\Programme\Nero\Nero 7\InCD\NBHGui.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://192.168.22.220:3128/ken.html
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1209107514531
O17 - HKLM\System\CCS\Services\Tcpip\..\{AC6A699E-A510-4E98-A740-7E4218267C53}: NameServer = 192.168.22.220,192.168.22.1
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir für KEN! Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir fuer KEN!\sched.exe
O23 - Service: AntiVir für KEN! Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir fuer KEN!\avguard.exe
O23 - Service: pcAnywhere Host-Modul (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Brother Industries, Ltd. - C:\WINDOWS\system32\Brmfrmps.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
O23 - Service: AVM KEN Klient (KEN Client Service) - AVM Berlin - C:\Programme\KEN!\KENCLI.EXE
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: SageDB 5.0 - Unknown owner - C:\Programme\Sage\SageDB 5.0\bin\mysqld-nt.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 8224 bytes

Hi und :hallo:


Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix

• Starte das Programm im abgesicherten Modus dann und lass das System dort durchsuchen. (Option 1)

• Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

Bitte lass mal noch Blacklight laufen.

Weiter Anweisungen folgen;)

Hallo Trojan,
so schnelle Hilfe habe ich nicht erwartet, danke.
Ich habe SmitfraudFix und Blacklight laufen lassen. Bei Blacklight steht: scan complete, no hidden items found.

Hier ist das Logfile von SmitfraudFix. Ich komme aber erst am 30.08. vormittags dazu, wieder ins Forum zu sehen.

Bis dahin herzlich Grüße
Ulla

PS: Ich habe schon mehrere Versionen durch, um die Logfiles im Code zu schicken. Was mache ich falsch?



SmitFraudFix v2.342

Scan done at 20:08:45,79, 29.08.2008
Run from C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Temp\Downloads Virenschutz\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts

hosts file corrupted !

127.0.0.1 www.legal-at-spybot.info
127.0.0.1 legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Administrator\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\ADMINI~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix
!!!Attention, following keys are not inevitably infected!!!

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» RK



»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{AC6A699E-A510-4E98-A740-7E4218267C53}: NameServer=192.168.22.220,192.168.22.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{AC6A699E-A510-4E98-A740-7E4218267C53}: NameServer=192.168.22.220,192.168.22.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{AC6A699E-A510-4E98-A740-7E4218267C53}: NameServer=192.168.22.220,192.168.22.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Ok gut.
Erstelle noch ein Log mit RunScanner:daumenhoc

Hallo Trojan,

besten Dank für die weitere Hilfe. Hier ist das Logfile von Runscanner. Ich kann erst am Montag wieder ins Forum - jedenfalls von diesem PC aus. Bis dahin ein schönes Wochenende.

Ulla

[CODERunscanner logfile http://www.runscanner.net

* = signed file
- = file not found

General info
------------
Computer name : PC002
Creation time : 30.08.2008 12:53:30
Hosts <> 127.0.0.1 : 0
Hosts file location : %SystemRoot%\System32\drivers\etc
IE version : 6.0.2900.2180
OS : Microsoft Windows XP
OS Build : 2600
OS SP : Service Pack 2
RunScanner Version : 1.7.0.0
User Language : Deutsch (Deutschland)
User rights : Administrator
Windows folder : C:\WINDOWS

Running processes
-----------------
* C:\Programme\Lavasoft\Ad-Aware\aawservice.exe (Lavasoft)
* C:\Programme\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe (Adobe Systems Incorporated)
C:\Programme\AntiVir fuer KEN!\avguard.exe (Avira GmbH)
C:\Programme\AntiVir fuer KEN!\sched.exe (Avira GmbH)
C:\Programme\AntiVir fuer KEN!\avgnt.exe (Avira GmbH)
* C:\WINDOWS\system32\services.exe (Microsoft Corporation)
* C:\WINDOWS\System32\alg.exe (Microsoft Corporation)
C:\WINDOWS\system32\Brmfrmps.exe (Brother Industries, Ltd.)
* C:\WINDOWS\system32\csrss.exe (Microsoft Corporation)
* C:\WINDOWS\system32\ctfmon.exe (Microsoft Corporation)
* C:\WINDOWS\system32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\System32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\System32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\System32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\system32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\system32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\system32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\System32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\system32\svchost.exe (Microsoft Corporation)
* C:\WINDOWS\System32\svchost.exe (Microsoft Corporation)
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe (Hewlett-Packard Development Company, L.P.)
* C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe (Hewlett-Packard Development Company, L.P.)
* C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe (Hewlett-Packard Development Company, L.P.)
C:\WINDOWS\htpatch.exe
* C:\Programme\Nero\Nero 7\InCD\InCD.exe (Nero AG)
* C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe (Nero AG)
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe (Inprise Corporation)
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE (Inprise Corporation)
C:\Programme\FRITZ!\IWatch.exe (AVM Berlin)
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe (Sun Microsystems, Inc.)
C:\Programme\Java\jre1.5.0_06\bin\jucheck.exe (Sun Microsystems, Inc.)
C:\Programme\KEN!\KENCLI.EXE (AVM Berlin)
C:\Programme\KEN!\kentbcli.exe (AVM Berlin)
* C:\WINDOWS\system32\lsass.exe (Microsoft Corporation)
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe (Microsoft Corporation)
C:\Programme\Sage\SageDB 5.0\bin\mysqld-nt.exe
* C:\Programme\Nero\Nero 7\InCD\NBHGui.exe (Nero AG)
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe (ScanSoft, Inc.)
* C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
* C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Temp\Downloads Virenschutz\RunScanner.exe (Runscanner.net)
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe (Analog Devices, Inc.)
* C:\WINDOWS\system32\spoolsv.exe (Microsoft Corporation)
* C:\Programme\TeaTimer.exe (Safer Networking Limited)
* C:\WINDOWS\Explorer.EXE (Microsoft Corporation)
* C:\Programme\Messenger\msmsgs.exe (Microsoft Corporation)
* C:\WINDOWS\system32\winlogon.exe (Microsoft Corporation)
* c:\windows\System32\smss.exe (Microsoft Corporation)
C:\Programme\WinZip\WZQKPICK.EXE (WinZip Computing, Inc.)

Unrated items
-------------
002 C:\Programme\AntiVir fuer KEN!\avgnt.exe (Avira GmbH)
002 C:\Programme\Brother\ControlCenter2\brctrcen.exe (Brother Industries, Ltd.)
002 C:\Programme\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe (ABBYY (BIT Software))
002 C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe (Hewlett-Packard Development Company, L.P.)
002 C:\WINDOWS\htpatch.exe
002 C:\Programme\ScanSoft\PaperPort\IndexSearch.exe (ScanSoft, Inc.)
002 C:\Programme\KEN!\kentbcli.exe (AVM Berlin)
002 C:\Programme\ScanSoft\PaperPort\pptd40nt.exe (ScanSoft, Inc.)
002 C:\Programme\Brother\Brmfl04e\BrStDvPt.exe (Brother Industories, Ltd.)
002 C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe (Scansoft, Inc.)
002 C:\Programme\Java\jre1.5.0_06\bin\jusched.exe (Sun Microsystems, Inc.)
002 * C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe (RealNetworks, Inc.)
005 * C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe (Hewlett-Packard Development Company, L.P.)
005 C:\Programme\FRITZ!\IWatch.exe (AVM Berlin)
005 C:\Programme\WinZip\WZQKPICK.EXE (WinZip Computing, Inc.)
010 C:\Programme\AntiVir fuer KEN!\avguard.exe (AntiVir für KEN! Guard)
010 C:\Programme\AntiVir fuer KEN!\sched.exe (AntiVir für KEN! Planer)
010 C:\Programme\KEN!\KENCLI.EXE (AVM KEN Klient)
010 C:\WINDOWS\system32\Brmfrmps.exe (Brother Popup Suspend service for Resource manager)
010 C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE (InterBaseGuardian)
010 C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe (InterBaseServer)
010 C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe (Machine Debug Manager)
010 C:\Programme\Symantec\pcAnywhere\awhost32.exe (pcAnywhere Host-Modul)
010 C:\Programme\Analog Devices\SoundMAX\SMAgent.exe (SoundMAX Agent Service)
011 C:\WINDOWS\system32\drivers\sisperf.sys (Add Performance Filter Driver)
011 * C:\Programme\AntiVir fuer KEN!\avgio.sys (avgio)
011 * C:\Programme\AntiVir fuer KEN!\avgntflt.sys (avgntflt)
011 * C:\WINDOWS\system32\DRIVERS\avipbb.sys (avipbb)
011 c:\windows\System32\drivers\avmport.sys (AVMPORT)
011 C:\WINDOWS\system32\drivers\aw_host5.sys (AW_HOST)
011 c:\windows\System32\Drivers\awlegacy.sys (awlegacy)
011 C:\WINDOWS\system32\drivers\Gernuwa.sys (Gernuwa)
011 C:\WINDOWS\System32\Drivers\PxHelp20.sys (PxHelp20)
011 C:\WINDOWS\system32\drivers\sisidex.sys (sisidex)
011 C:\WINDOWS\system32\drivers\srvkp.sys (SiSkp)
011 C:\WINDOWS\system32\drivers\SSHDRV63.sys (SSHDRV63)
011 * C:\WINDOWS\system32\DRIVERS\ssmdrv.sys (ssmdrv)
011 C:\WINDOWS\System32\Drivers\Uad72.sys (Uad72)
030 C:\WINDOWS\system32\mscoree.dll (Microsoft Corporation) {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
030 C:\WINDOWS\system32\mscoree.dll (Microsoft Corporation) {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
030 C:\WINDOWS\system32\mscoree.dll (Microsoft Corporation) {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
031 C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\PKMCDO.DLL (Microsoft Corporation) {CD00020A-8B95-11D1-82DB-00C04FB1625D}
031 C:\Programme\Gemeinsame Dateien\Microsoft Shared\Information Retrieval\msitss.dll (Microsoft Corporation) {0A9007C0-4076-11D3-8789-0000F8105754}
035 C:\WINDOWS\system32\mscories.dll (Microsoft Corporation) {89B4C1CD-B018-4511-B0A1-5476DBF70820}
052 C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (Sun Microsystems, Inc.) {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
052 * C:\Programme\RA-MICRO\RAToolbar\ramicro_toolbar.dll (RA-MICRO Software GmbH) {C543F87B-D228-466C-8432-A6F7D1C44565}
052 * C:\Programme\RA-MICRO\RAToolbar\ramicro_toolbar.dll (RA-MICRO Software GmbH) {EF8E1F96-FF80-4E85-AD4F-0F19166E21DB}
061 C:\Programme\Microsoft Office\Access 97\soa800.dll (Microsoft Corporation) {BB7DF450-F119-11CD-8465-00AA00425D90}
061 C:\Programme\Sonic\RecordNow! Deluxe\shlext.dll {DEE12703-6333-4D4E-8F34-738C4DCC2E04}
061 C:\Programme\AntiVir fuer KEN!\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
061 * C:\Programme\Real\RealPlayer\rpshell.dll (RealNetworks, Inc.) {F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}
061 C:\WINDOWS\system32\dfshim.dll (Microsoft Corporation) {E37E2028-CE1A-4f42-AF05-6CEABC4E5D75}
061 C:\WINDOWS\system32\dfshim.dll (Microsoft Corporation) {e82a2d71-5b2f-43a0-97b8-81be15854de8}
061 C:\PROGRA~1\WINZIP\WZSHLSTB.DLL (WinZip Computing, Inc.) {E0D79304-84BE-11CE-9641-444553540000}
061 C:\PROGRA~1\WINZIP\WZSHLSTB.DLL (WinZip Computing, Inc.) {E0D79305-84BE-11CE-9641-444553540000}
061 C:\PROGRA~1\WINZIP\WZSHLSTB.DLL (WinZip Computing, Inc.) {E0D79306-84BE-11CE-9641-444553540000}
061 C:\PROGRA~1\WINZIP\WZSHLSTB.DLL (WinZip Computing, Inc.) {E0D79307-84BE-11CE-9641-444553540000}
062 C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll (Adobe Systems, Inc.) {F9DB5320-233E-11D1-9F84-707F02C10627}
067 C:\WINDOWS\system32\PCANotify.dll (Symantec Corporation)
069 C:\WINDOWS\system32\FritzColorPort.dll (AVM Berlin GmbH)
069 C:\WINDOWS\system32\FritzPort.dll (AVM Berlin GmbH)
069 C:\WINDOWS\system32\mdimon.dll (Microsoft Corporation)
069 C:\WINDOWS\system32\awmon.dll (Symantec Corporation)
069 C:\WINDOWS\system32\Primomonnt.dll
100 Default_Page_URL HKLM : http://192.168.22.220:3128/ken.html
100 ProxyServer HKCU : http=192.168.22.220:3128;https=192.168.22.220:3128;ftp=192.168.22.220:3128;socks=192.168.22.220:1080
100 Start Page HKCU : http://www.google.de/
104 C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll (Sun Microsystems, Inc.) {8AD9C840-044E-11D1-B3E9-00805F499D93}
104 GUID / CLSID not found {8FFBE65D-2C9C-4669-84BD-5829DC0B603C}
104 C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll (Sun Microsystems, Inc.) {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}
104 C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll (Sun Microsystems, Inc.) {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
105 Nach Microsoft &Excel exportieren : res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
120 NameServer {AC6A699E-A510-4E98-A740-7E4218267C53} : 192.168.22.220,192.168.22.1
153 C:\WINDOWS\system32\SYNCOR11.DLL (SoundMAX)
173 C:\Programme\AntiVir fuer KEN!\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
173 C:\PROGRA~1\WINZIP\WZSHLSTB.DLL (WinZip Computing, Inc.) {E0D79304-84BE-11CE-9641-444553540000}
221 C:\Programme\AntiVir fuer KEN!\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
221 C:\PROGRA~1\WINZIP\WZSHLSTB.DLL (WinZip Computing, Inc.) {E0D79304-84BE-11CE-9641-444553540000}
225 c:\programme\abbyy finereader 7.0 professional edition\fecmenu.dll (ABBYY (BIT Software)) {AC0DD14A-8F29-4F88-BE1D-0F0ED1B06C9F}
225 c:\programme\abbyy finereader 7.0 professional edition\fecmenu.dll (ABBYY (BIT Software)) {AC0DD14A-8F29-4F88-BE1D-0F0ED1B06C9F}
225 C:\Programme\AntiVir fuer KEN!\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
225 C:\Programme\AntiVir fuer KEN!\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
225 C:\PROGRA~1\WINZIP\WZSHLSTB.DLL (WinZip Computing, Inc.) {E0D79304-84BE-11CE-9641-444553540000}
225 C:\PROGRA~1\WINZIP\WZSHLSTB.DLL (WinZip Computing, Inc.) {E0D79304-84BE-11CE-9641-444553540000}
227 C:\PROGRA~1\WINZIP\WZSHLSTB.DLL (WinZip Computing, Inc.) {E0D79304-84BE-11CE-9641-444553540000}
231 C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll (Adobe Systems, Inc.) PDF Column Info

Missing files
-------------
002 C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
002 C:\WINDOWS\system32\khooker.exe
010 C:\Programme\Sage\SageDB 5.0\bin\mysqld-nt.exe "--defaults-file=C:\Programme\Sage\SageDB 5.0\server.ini"
011 C:\WINDOWS\system32\drivers\Abiosdsk.sys
011 C:\WINDOWS\system32\drivers\abp480n5.sys
011 C:\WINDOWS\system32\drivers\adpu160m.sys
011 C:\WINDOWS\system32\drivers\Aha154x.sys
011 C:\WINDOWS\system32\drivers\aic78u2.sys
011 C:\WINDOWS\system32\drivers\aic78xx.sys
011 C:\WINDOWS\system32\drivers\AliIde.sys
011 C:\WINDOWS\system32\drivers\amsint.sys
011 C:\WINDOWS\system32\drivers\asc.sys
011 C:\WINDOWS\system32\drivers\asc3350p.sys
011 C:\WINDOWS\system32\drivers\asc3550.sys
011 C:\WINDOWS\system32\drivers\Atdisk.sys
011 C:\WINDOWS\system32\drivers\cd20xrnt.sys
011 C:\WINDOWS\system32\drivers\Changer.sys
011 C:\WINDOWS\system32\drivers\CmdIde.sys
011 C:\WINDOWS\system32\drivers\Cpqarray.sys
011 C:\WINDOWS\system32\drivers\dac2w2k.sys
011 C:\WINDOWS\system32\drivers\dac960nt.sys
011 C:\WINDOWS\system32\drivers\dpti2o.sys
011 C:\WINDOWS\system32\drivers\hpn.sys
011 C:\WINDOWS\system32\drivers\i2omgmt.sys
011 C:\WINDOWS\system32\drivers\i2omp.sys
011 C:\WINDOWS\system32\drivers\ini910u.sys
011 C:\WINDOWS\system32\drivers\IntelIde.sys
011 C:\WINDOWS\system32\drivers\lbrtfdc.sys
011 C:\WINDOWS\system32\drivers\mraid35x.sys
011 C:\WINDOWS\system32\drivers\PCIDump.sys
011 C:\WINDOWS\system32\drivers\PDCOMP.sys
011 C:\WINDOWS\system32\drivers\PDFRAME.sys
011 C:\WINDOWS\system32\drivers\PDRELI.sys
011 C:\WINDOWS\system32\drivers\PDRFRAME.sys
011 C:\WINDOWS\system32\drivers\perc2.sys
011 C:\WINDOWS\system32\drivers\perc2hib.sys
011 C:\WINDOWS\system32\drivers\ql1080.sys
011 C:\WINDOWS\system32\drivers\Ql10wnt.sys
011 C:\WINDOWS\system32\drivers\ql12160.sys
011 C:\WINDOWS\system32\drivers\ql1240.sys
011 C:\WINDOWS\system32\drivers\ql1280.sys
011 C:\WINDOWS\system32\drivers\Simbad.sys
011 C:\WINDOWS\system32\drivers\Sparrow.sys
011 C:\WINDOWS\system32\drivers\sym_hi.sys
011 C:\WINDOWS\system32\drivers\sym_u3.sys
011 C:\WINDOWS\system32\drivers\symc810.sys
011 C:\WINDOWS\system32\drivers\symc8xx.sys
011 C:\WINDOWS\System32\drivers\tcpsr.sys
011 C:\WINDOWS\system32\drivers\TosIde.sys
011 C:\WINDOWS\system32\drivers\ultra.sys
011 C:\WINDOWS\system32\drivers\ViaIde.sys
011 C:\WINDOWS\system32\drivers\WDICA.sys
061 deskpan.dll
073 C:\Programme\LOGIN\LOGINventory4\LOGINquiry.exe
073 C:\Programme\LOGIN\LOGINventory4\LOGINsert.exe
145 aw_host.sys
][/CODE]

Hallo Trojan-Death,

hörst Du mich da draußen?

Heute morgen - Hilfe, Hilfe - starte ich den PC und sehe den Bildschirmschoner mit dem simulierten Windows-Absturz und Antivirus XP 2008 zählt dazu meine angeblichen Virusbedrohungen mit 2.889.

Spybot meldet: ein wichtiger Registrierungsdatenbank-Eintrag wurde geändert:
System Startup global entry, Wert hinzugefügt, Eintrag: lphcgsgj0eg4c, neue Daten: C:\WINDOWS\system32\lphcgsgj0eg4c.exe,
den ich verweigere, ebenso bei der folgenden Meldung:
SMrhclsgj0eg4c, C:\Programme\rhclsgj0eg4c\rhclsgj0eg4.exe

Was habe ich übersehen oder falsch gemacht? Ich habe jetzt Malwarebytes durchlaufen lassen, dann noch einmal im abgesicherten Modus, danach HijackThis im Normal-Modus. Ich füge die drei Logfiles bei und wäre sehr dankbar, wenn ich weiter Hilfe bekommen könnte.

Viele Grüße

Ulla

Hallo Trojan-Death,

wo liegt mein Fehler? Habe ich irgendwo ein Häckchen vergessen? Soll ich Spybot deinstallieren, der eine Systemsicherung gemacht hat? Ich verstehe auch nicht, Freitag nachmittag hatte ich bei MAM nur noch 1 Eintrag, am Samstag habe ich run scanner laufen lassen, danach war der PC aus und heute morgen direkt nach dem Hochfahren war alles wieder da? Ich muss doch etwas falsch machen!

Ich habe jetzt noch einmal Spybot laufen lassen, der 17 Einträge gefunden hat. Danach noch einmal Malware bytes im abgesicherten Modus (5 Einträge). Dann noch einmal Hijack This im Normal-Modus.

Ich würde mich sehr freuen, wenn Du Zeit hättest, noch einmal die Logfiles anzusehen.

Ich kann kaum richtig arbeiten, weil im Hintergrund oft ein Virenscanner läuft und ich werde langsam nervös. Ein neues Aufsetzen des Systems dauert mit Sicherheit 1,5 Tage. Das würde ich gern vermeiden, da ich erst dazu am 13./14. September Zeit dazu hätte .

Ich werde erst morgen wieder ins Forum sehen können (von diesem PC aus), bis dahin schon einmal herzlich Dank im Voraus.

Ulla - langsam sich auflösend

Hier sind die Logfiles:

Hallo Trojan-Death,

heute morgen, 02.09.08, hatte ich Antivirus wieder auf dem PC. Da ich im Forum gelesen hatte, dass man es im abgesicherten Modus mit der Deaktivierung der Systemwiederherstellung, anschließenden Scannen und Aktivierung der Systemwiederherstellung versuchen sollte, bin ich diesen Hinweisen gefolgt. Also: abgesicherter Modus, Deaktivierung, Spybot (17 Infekte), MAM 1 Infekt, HijackThis. Als ich die Systemwiederherstellung aktivieren wollte, bekam ich den Hinweis, das dies nur im Normalmodus möglich ist. Zurück zum Normalmodus und dann brach alles mich herein, was hier ich im Zusammenhang mit Antivirus XP 2008 schon gelelsen habe. Keine Taskleiste mehr, Systemsteuerung nicht aufrufbar, kein Internet.

Ich schreibe jetzt von einem anderen PC und werde heute Nacht oder morgen früh das System neu aufsetzen. Da ich das erst zweimal gemacht habe, werd' ich noch ein bisschen darüber lesen.

Ich danke Dir, dass Du Dir die Zeit für mein Problem genommen hast, ich weiß, es ist Deine, bzw. Eure Freizeit, die Ihr hier im Forum einsetzt. -

Vielleicht könntest Du Dich noch einmal kurz melden?

Viele Grüße

Ulla

Ich hatte die letzten Tage keine Zeit zu antworten;) Sorry dafür:)
Du solltest die Eigeninitiative in Zukunft am besten sein lassen... Du siehst ja was dabei herauskommt...
Soll ich deine Logfiles (RunScanner usw.) nun analysieren oder spielst du sowiso neu auf?

grüsse trojan-death

Hallo Trojan-Death,

danke erst einmal für Deine Antwort. Ich bin mit dem Problem wirklich überfordert, ich muss an dem PC dringend arbeiten, habe aber keine Zeit ihn jetzt neu aufzubauen. Ich habe das auch erst zweimal gemacht.

Ich habe meinen zweiten Threat geschrieben, in der Hoffnung, dass ich irgendeine Antwort erhalte. Du kannst ihn löschen bzw. löschen lassen.

Der Zeitaufwand für den Neuaufbau ist hoch und ich bin unsicher. Wenn ich wüßte, dass da noch eine Chance besteht, meine Probleme auf andere Weise in den Griff zu bekommen, lass ich den Neuaufbau sein.

Also, die neuen Logfiles von heute habe ich nicht hier, wo ich gerade arbeite. Ob mein befallener PC überhaupt noch ins Internet geht, weiß ich nicht. Ich könnte aber heute noch hinfahren und nachprüfen, was noch geht.

Die letzten Logfiles sind von gestern. Ob die noch aussagekräftig sind, weiß ich nicht, obwohl ich das gleiche gemacht habe, nur heute mit Systemdeaktivierung.

Kannst Du mir raten, was ich machen soll?

Viele Grüße

Ulla - fast kopflos

Ok

Bleib mal ruhig;)
Die Logs sind noch genug aktuell;)
Werde mir das mal anschauen und dir gleich antworten.
Der unnötige Thread kannst du dem GUA melden:daumenhoc

Ich habe leider ne schlechte Nachricht für dich...
Ich würde sagen, dass bei dir ein Rootkit aktiv sein Unwesen treibt...
Das einzig Sinnvolle und sicherste bei einer Rootkit infizierung ist, dass du Neuaufsetzt:(
Auch in deinem ersten Log von Malwarebytes, steht das ein Rootkit enfernt wurde, was aber wahrscheinlich nicht richtig oder vollständig geschehen ist, da du bei jedem erneutem Scan mit Malwarebytes weiteres Zeug findest.
Wenn du aber unbedingt nicht Neuaufsetzen möchtest, kann ich dir einfach so gut es geht helfen alles zu beseitigen. Es kann sein, dass du danach keine Probleme mehr hast (und du wieder frei von allem bist) aber ich kann dir dann für nix garantieren da ein Rootkit alles manipuliert haben könnte. Auch solltest du unbedingt alle deine Passwörter von einem "sicheren" PC aus ändern;)
Wenn der Rootkit aber noch drauf ist und du Setzt nicht neu auf, dann wird er deine "neuen" Passwörter gleich wieder haben.

grüsse trojan-death

Hallo Trojan-Death,

ich sehe, dass Du da bist und geschrieben hast, aber Deinen Text sehe ich nicht. Gibt es eine zeitliche Verzögerung?

Bitte, ich bin Anfänger hier, wer ist GUA und wie lasse ich meinen Beitrag löschen? Unter Hilfe habe ich nichts gefunden?

LG
Ulla

:lach:
Du siehst meinen Beitrag nicht... cool mach mal "refresh" und/oder melde dich neu an;)
Ansonsten schick ich dir kurz per PN


Das ist der GUA ---> Klick


ps. hoffe du konntest das lesen

Hallo Trojan- Death,

Deine Nachricht ist gerade gekommen. Ich werde neu aufsetzen. Ich arbeite in einem kleinen Netzwerk und möchte für die anderen kein Risiko sein.

Ich sollte dann wohl die Daten auf der Festplatte vorher schreddern.

Ich danke Dir wirklich sehr, dass Du mir heute Abend geholfen hast, zu einer Entscheidung zu kommen.

Wenn Du mir nun noch schreibst, wie ich den zweiten Beitrag GUA melden kann?

LG

Ulla

Hallo trojan-death,

ich bin auch ein anfänger:D darum wollte ich dich um rat fragen in der situation von der Ulla

wäre es nicht sinnvoll SASW drüber laufen zulassen oder einen online scan?

und damit sowas nciht mehr vorkommt gibt es doch ,,virtuelle -Tasten Progs,,:Dwenn man das so nennen kann:D
und sich immer als eingeschränkter benutzer anzumelden
oder bist du ad anderer Meinung?

Schreibe ihm eine Nachricht, gib ihm den Link zum Thema das zu löschen ist et voila:D

Hallo Trojan-Death,

wenn ich mal wieder Probleme habe, melde ich mich wieder. Bis dahin alles Gute und herzlichen Dank.

Es hat mich gefreut, Dich kennen zu lernen.

Liebe Grüße

Ulla

Hi Aggro Berlin;)

Ich weiss nicht genau was deine Frage ist oder ob du vlt. auch ein Problem hast.

Bei einer Infizierung durch einen Rootkit (dasselbe bei Trojan/Backdoor Infizierung) kannst du deinem System einfach nicht mehr vertrauen;)
Lies mal die Erklärungen auf Wikipedia genau durch, dann wirst du verstehen warum man nicht einfach SASW drüber laufen kann:D

Vielen Dank:D
Wünsche ich dir auch!
Du bist natürlich immer wieder Willkommen;)
Hoffe zwar nicht, dass wir uns hier wieder treffen:alc:

ja okay mach ich danke aber

ehrlci hgesagt hab ich au probleme mit meinem pc aber i-wie will mir niemand antworten:koch:

Kann es sein das du nicht alles erforderlich, Log und/oder Angaben mitgepostet hast?
Bist du im richtigen Forum?
Wie lange hast du uns Zeit gegeben zu antworten? 1min 2, 3,? 1 Tag 2, 3,?
Wir sind hier auch ziemlich ausgelastet und du kannst nicht immer erwarten das du nach 2min deine erste Antwort kriegst;)(Vorallem wenn du unvollständig postest)

grüsse trojan-death

okay sry tut mir leid du hast recht

aber was soll ich sonst noch angeben?

Danke

Lies dir Die 7 Goldenen Regeln durch;)

Hallo Trojan-Death, hallo liebe Helfer,

bitte habt Verständnis dafür, dass ich mich mit meinem alten Problem noch einmal melde.

Ich war fest entschlossen, meinen PC neu aufzusetzen. – Nur habe ich mit diesem PC in einem kleinen Netzwerk durch verschiedene Programme eine Schlüsselstellung. Es sind Abhängigkeiten entstanden – so dass ich nicht 1 bis 2 Tage vom Netz gehen kann, bis alles wieder funktioniert.

Nach einer Chaos-Woche (mit einer Hochzeit und einem Todesfall, einem Halbumzug, kaum Schlaf, dazu noch die Versuche, mit Eurer Hilfe Antivirus XP zu entfernen) bin ich endlich wieder im normalen Leben angekommen und hätte abends Zeit.

Ich würde mich sehr freuen, wenn Ihr mir doch helfen könntet, den Trojaner/Virus zu entfernen.

Ich habe auf diesem PC keine Passwörter gespeichert und kein Online-Banking. Ich komme wieder ins Internet, meine Taskleiste ist wieder da, Spybot meldet sich und ich verweigere neue Einträge. Das Warnfenster beim Hochfahren ist nach wie vor da. (Frage am Rand: ist das Arbeiten mit Spybot S & D evtl. kontraproduktiv?)

Ich füge zwei aktuelle Logfiles von MAM bei sowie von HJT.

Ist da noch Hoffnung?

Liebe Grüße und herzlichen Dank, wenn Ihr es noch einmal mit mir versuchen wollt.

Ulla

Du bist ja mal ne Pfeiffe:D

Wiso kannst du nicht Neuaufsetzen? Wenn du Gas gibst und dir nen Samstag oder Sonntag Zeit nimmst, wirst du das schon durchbringen;)

MBAW: Du hast es am 10:09:15 08.09.2008 laufen lassen und es wurden mehrere Sachen aufgespürt...
Ca. zwei Stunden später lässt du MWB erneut scannen und... es werden wieder einige unschöne files und reg. Einträge zu Tage gebracht...
Ich werde dir natürlich helfen deinen Rechner so gut wie möglich auf Vordermann zu bringen, aber ich gebe dir absolut keine Garantie für nichts...

Fangen wir wieder von vorne an:

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix

• Starte das Programm im abgesicherten Modus dann und lass das System dort durchsuchen. (Option 1)

• Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

Deckards System Scanner (DSS)

Hier gibt es das Tool -> dss.exe

* Schließe alle Anwendungen
* Doppelklicke dss.exe um das Programm zu starten
* Wenn der Scan abgeschlossen ist wird sich ein Notepad mit dem Inhalt
der main.txt öffnen.
Ein weiteres Logfile, die extra.txt liegt im Verzeichnis
c:\Deckard\SystemScanner\extra.txt
* Kopiere den Inhalt der beiden Logfiles in diesen Thread, bitte als ['CODE]['/CODE]


Was Deckards System Scanner macht:

* Es Erstellt einen System Wiederherstellungspunkt
* es säubert die temporären Dateien, Downloaded Program Files, Internet


Gmer scannen lassen

Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.

• Starte gmer.exe und gehe zum Tab Rootkit. Alle anderen Programme sollen geschlossen sein.

• Stelle sicher, daß in der Leiste rechts alles von "System" bis "ADS" angehakt ist
• (Wichtig: "Show all" darf nicht angehakt sein)

• Starte den Durchlauf mit "Scan".

• Mache nichts am Computer während der Scan läuft.

• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.

• Füge das Log aus der Zwischenablage in deine Antwort hier ein.

Hallo Trojan-Death,

danke, dass Du Dich wieder gemeldet hast. Ich fahre gleich los und arbeite alles ab.

Du hast natürlich recht mit dem Neuaufsetzenund Gas geben.

Wenn ich einen zweiten PC daneben hätte um 1 zu 1 abzuarbeiten, würde ich mir das in einer bestimmten Zeit zutrauen - ich habe es ja auch alles einmal selbst eingerichtet. Nur ist mein Wissen zum Teil verschüttet und aus Sicherheitsgründen müsste ich vieles wieder erneut lesen und Schritt für Schritt eingeben.

Deshalb vielen Dank. Bis später.

Ulla

Hier hättest du sonst ne sehr gute Anleitung falls du dich doch umentscheiden würdest;)
Zur Info: Bin heute bis ca. 11.45Uhr hier und werde dir helfen, ansonsten bin ich morgen Abend wieder da;)

Werde dir kurz bevor ich gehe noch weitere Anweisungen geben (Nur falls du bis dann nicht wieder antworten könntest, damit du nicht den ganzen Weg für diese drei Sachen gefahren bist;)) (gehe aber in diesem Fall bitte alles genau der Reihe nach druch wie ich es dir sage;))

bis nachher

Hallo Trojan-Death,

ich bin schon hier.

Lieb von Dir, dass Du mir noch einen Link geschickt hast. -Aber, mein größtest Problem wäre beim Neuaufbau die Konfiguration der neuen Telefonanlage (24 Seiten). Das habe ich vor 11 Monaten gemacht und ich war damals das Sorgenkind des technischen Supports. - Mein Ansprechpartner hierfür ist ausgerechnet jetzt im Urlaub.

Deshalb fange ich jetzt an.

Bitte warte nicht extra auf mich. Ich wünsche Dir eine gute Nacht.

Ulla

Heute hast du Glück :D es wird für mich sowiso ne lange Nacht (US Open Final... Go Roger :taenzer:) da es erst um viertel vor 11 anfängt:juul:

Wie ich sehe konntest du noch nicht antworten... hier die weiteren Schritte (mache vorher aber die drei anderen Sachen fertig;)):

ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

(ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix)



Blacklight scannen lassen

* Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
* Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
* Klick "I accept the agreement", "next", "Scan".
* Wenn der Scan fertig ist beende Blacklight mit "Close".
* Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.



Sophos scannen lassen

* Gehe zu Sophos und lade dir ihren Rootkitescanner herunter. Du bekommst eine Installationsdatei sarsfx.exe.
* Starte diese, akzeptiere die Lizenz und lass das Programm installieren, ändere den Pfad C:\SOPHTEMP nicht.
* Gehe mit dem Explorer in diesen Ordner und starte sargui.exe, schließe danach alle anderen Programme.
* Lass unter Area alles angehalt und starte den Scan mit "Start scan". Der Scan dauert einige Zeit, wenn er fertig ist poppt ein Fenster auf mit einer Zusammenfassung, klicke dort "Ok". Beende den Sophos Rootkitscanner, dieser Scan dient nur der Analyse.
* Starte den Explorer und gib in der Adresszeile "%temp%" ein (ohne Anführungsstriche), dort gibt es eine Datei sarscan.log, deren Inhalt bitte posten.

Bis morgen;)
Lass dann nochmals Malwarebytes scanne (Log wieder posten) und poste ein frische HJT;)

Hallo Trojan-Death,

das Logfile von smitfraudfix kann ich Dir schicken. Ich habe so lange benötigt, weil ich für dss.exe im Netz unterwegs war. Alle Wege führen zu einem Eintrag, den ich jetzt sehr frei übersetzt habe:

"Deckard's System Scanner reagiert mit einem bestimmten rootkit (tdssserv) in einer Weise, die vielleicht Ihr System unbrauchbar macht, und ändert den svchost netsvcs Registry Eintrag. Dieser Download ist entfernt worden, bis eine Lösung von Deckard frei gegeben wird. Zu Ihrem eigenen Schutz, versuchen Sie nicht bitte, dieses Tool von anderen Seiten zu laden.
08/17/2008
Ihr Geeks Go admin-Team"

Kann ich mit Gmer weitermachen?

LG
Ulla

Jep;)
Weitermachen;)

Hallo Trojan-Death,

hoffentlich ist das jetzt gut gegangen. Ich musste die Datei teilen, da sie zu groß war.

GMER ist durch und ich habe mir den Leitfaden für ComboFix durchgelesen. Ich habe eine Windows-CD mit Windows XP Professional (Volllizenz - keine Recovery CD) und sollte von dort erst einmal die Wiederherstellungskonsole laden? Ist das richtig?

Nach meinem neuen Leitsatz "Gehe langsam, wenn Du es eilig hast" möchte ich das gern morgen durchführen, dann die anderen Programme.

Ich mach Dir so viel Arbeit. Du opferst Deine Freizeit, um mir zu helfen. Haben die Hilfesuchenden in diesem Forum die Möglichkeit, sich bei Ihren Helfern in irgendeiner Form zu revanchieren?

Liebe Grüße an Dich

Ulla

Hallo Trojan-Death,

ich habe alles abgearbeitet und bin den Anleitungen auch sorgfältig gefolgt.

Um es vorweg zu nehmen: Ich habe den PC jetzt neu hochgefahren, weil mein AntiVir-Schirmchen nicht auftauchte, und da war als erstes wieder das Fenster: Warning, Spyware detected on your computer ... und Spybot meldete sich mit:

Spybot S&D hat festgestellt, dass ein wichtiger Registrierungsdatenbankeintrag geändert wurde.
Kategorie: System Startup global entry
Änderung: Wert hinzugefügt
Eintrag: inrhclsgj0eg4c
Neue Daten: C:\WINDOWS\Temp\.ttC.tmp.exe/CR=E08AC8...
Klick auf: Verweigern

(Warum sagt mir mein Bauchgefühl nur immer, dass ich bei Spybot etwas falsch mache?)

Doch nun der Reihe nach:

Heute morgen war mein Desktop das erste Mal weiß. Ich habe mit MAM im Normalmodus gescannt, danach war der Bildschirm blau, ich bin ins Internet und habe mir alle Programmme und Anleitungen geholt, gespeichert, ausgedruckt. - Jede halbe Stunde meldete sich Anti Vir mit einem Malware-Eintrag, der in die Quarantäne kam.

Ab 12:00 Uhr konnte ich erst beginnen:

- Die Quarantäne-Dateien bei Anti Vir habe ich gelöscht.
- Anti Vir habe ich deaktiviert (Schirmchen zu), bei
- Spybot habe ich den Tea-Timer geschlossen und im erweiterten Modus die Häckchen bei "Resident" und "Systemstart" entfernt
- die Wiederherstellungskonsole war auf dem Desktop

1. C Cleaner - Scan. Hier wolltest Du kein Protokoll haben?

2. ComboF ix (hat einen Neustart durchgeführt und mit Autostart waren Antivir und Spybot wieder aktiv. Um sicher zu gehen, habe ich noch einmal deaktiviert und Combo Fix ein zweites Mal durchlaufen lassen. Ich schicke Dir das zweite Protokoll.

3. Black light - Scan
4. So phos - Scan
5. Malware Bytes - Scan (abgesicherter Modus)
6. HJT -Scan

Danke, dass Du Dir die Mühe machst, das anzusehen. Es ist viel Arbeit.

Hoffentlich habe ich keine Fehler gemacht.

Liebe Grüße

Ulla

2. Combo Fix

3. Blacklight - Scan
4. Sophos-Scan
5. MAM - Scan
6. HJT

Hallo Trojan-Death,

ich muss für zwei Stunden weg und kann erst gegen 20:00 Uhr wieder vorbei schauen.

Vielleicht treffen wir uns?

Wenn Du keine Zeit hast, wäre es nett, wenn Du mir kurz Bescheid gibst. Ich stelle mich darauf ein.

Liebe Grüße

Ulla

Junge, junge, junge...
Was hast du da mit deinem Rechner angestellt...
Nun müssen wir eben manuell löschen... Das wird mühsam und kann ne Weile dauern bis wir alles erwisch haben;)
Ich kann dir nur immer wieder zum Neuaufsetzen raten...


Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:


2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")


3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.




Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Das u.A.gehört zu SmitfraudFix.

Dankeschön

Bitte :twak: mich dafür, dass ich Vollidiot das nicht gepeilt hab:D

No Prob. :daumenhoc:

Kann jedem passieren. :party:

Hallo Trojan-Death,

vielen Dank für Deine Nachricht. Darf ich Dich fragen, wie lange Du heute online sein wirst? Ich müsste jetzt zu meinem PC fahren und es wird etwas dauern, bis ich soweit bin, Dir die Ergebnisse zu schicken.

Ich meine nur, wenn ich mitten drin stecke und eine Rückfrage habe, bist Du dann noch da? Ich habe so etwas noch nie gemacht.

Liebe Grüße

Ulla - reichlich unerfahren

Bei diesen zwei Schritten (The Avenger und VirusTotal) sollte nicht wirklich Probleme auftreten... Folge einfach genau der Anleitung und ich antworte morgen wieder... Muss noch für die Berufsschule lernen und werde nicht mehr lange hier sein;)
Berichte aber unbedingt wieder was mit deinem Rechner so passiert (ist). Weisser Desktop, blauer Desktop, Bluescreen, Virenmeldungen usw.

grüsse trojan-death

Hallo Trojan-Death,

also ich würd' dann gern morgen früh weitermachen und dann gleich beginnen, wenn ich den PC hochfahre.

Ich hatte heute einen 12-Stunden-Tag und bekomme zu Haus bald die "Rote Karte", wenn ich noch einmal losfahre.

Ich freue mich, wenn Du mir morgen Abend weiterhelfen kannst.

Bis dahin

Ulla

Hallo Trojan-Death,

ich fange mit dem zweiten Teil an, weil ich gerade mittendrin stecke. Hier sind die Ergebnisse von Virustotal:

1. ...\Process.exe
2. ...\dumphive.exe
3. WS2Fix.exe

4. ...\hpqEm1Sz.Ini
5. ...\Uad72.sys
Ich schau mal nach, was ich evtl. falsch gemacht habe.

Bis gleich

Ulla

Hallo Trojan-Death,

ist alles dabei, was Du von Virustotal brauchst?

Ich habe vorher mit Aveng er die angegebenen Dateien gescannt; Dann aber festgestellt, dass Anti Vir in der Zwischenzeit vier Dateien gefunden hat, also ab in die Quarantäne, löschen:

C:\WINDOWS\Temp\.tt29.tmp
C:\WINDOWS\Temp\.tt3D.tmp
C:\WINDOWS\Temp\.tt31.tmp
C:\WINDOWS\Temp\.tt25.tmp

Anschließend habe ich Aveng er zum zweiten Mal durchlaufen lassen. Ich sende Dir beide Durchläufe.

Ich habe immer noch beim Hoch- und Runterfahren das Fenster: "Warning ... ist infected".

Und mein Schirmchen von Anti Vir ist verschwunden. Anti Vir ist aber aktiviert, ich habe es in die Taskleiste gepackt.

Vielen Dank, dass Du hier weitermachen willst. - Ich bin heute ab ca. 18:00 Uhr wieder da.

Bis dahin alles Gute und liebe Grüße

Ulla


Hier kommt der erste \avenger.txt
Der zweite Durchlauf von Aven ger

Hallo Trojan-Death,

das Schirnchen von Anti Vir ist mit etwas Nachhilfe wieder da.

Bis heute Abend

Ulla

Hi

Langsam schwindet mein Glaube daran, deinen Rechner wieder flott zu kriegen...

Starte nochmals The Avenger und gib folgendes im weissen Feld ein:Versuche bitte manuell folgende Datei zu finden: Falls du die Datei findest, versuche sie zu löschen!!!
Wenn du sie findest und das manuelle löschen nicht funzt, versuche es mit KillBox. Die Anleitung wie findest du im Link.

Bitte ein weiteres mal Malwarebytes scannen lassen:daumenhoc
Lass bitte auch noch eScan und SuperAntiSpyware laufen.
Mal Avira mit folgender Einstellung laufen lassen---> Klick
Erstelle nun bitte ein RunScanner Log:daumenhoc

Hallo Trojan-Death,

ich freue mich, von Dir zu hören. Wollen wir schon aufgeben?

Ich arbeite jetzt ersteinmal alles ab. Vorab folgendes:

- Avenger habe ich durchlaufen lassen, Protokoll anbei.
- Die Datei C:\WINDOWS\System32\drivers\tcpsr.sys ist nicht da. (Die Häckchen sind so gesetzt, dass alle Dateien sichtbar sind.)
- Alle Dateien mit t... habe ich aufs Datum kontrolliert. Aus 2008 ist keine.
- Es gibt aber eine Datei "Uad72.sys" vom 14.07.2008, 11:32 Uhr, Größe 31,5 KB . Genau zu diesem Zeitpunkt habe ich die UPS-ZIP-Datei geöffnet. Seit dieser Minute habe ich meine Probleme. Der Technische Support von AntiVir konnte mir damals nicht helfen. Diese Datei war weder zu löschen, zu kopieren, auszuschneiden, umzubenennen. Mit Bedauern haben sie dann damals gesagt, keine Datei, keine Analyse.

Ich mach jetzt weiter mit MalwareBytes.

Liebe Grüße

Ulla


Aven ger

Hallo Trojan-Death,

ich lasse parallel MAM im abgesicherten Modus laufen. Ist das immer notwendig?

Was macht mein Ritter Spybot S&D? Kann er mir vielleicht ein Bein stellen, indem er alles wieder herstellt? Ich habe so ein dummes Bauchgefühl. - Soll ich Spybot vielleicht deinstallieren?

Liebe Grüße

Ulla

Hallo Trojan-Death,

ich habe MAM im abgesicherten Modus mit Vollscan laufen lassen: 17 Einträge

Danach MAM noch einmal im abgesicherten Modus, Schnellscan; 0 Einträge.

Ich gehe zurück in den Normalmodus und da meldet sich Spybot:

S & D hat festgestellt, dass ein wichtiger Registrierungsdatenbank-Eintrag geändert wurde.
Kategorie: System Startup global entry
Änderung: Wert hinzugefügt
Eintrag: inrhclsgj0eg4c
Neue Daten: :\WINDOWS\Temp\.tt35.tmp.exe/CR=EO8A...
Klick auf: verweigern

Und wenn ich das Log von S&D auch mal schicke? Vielleicht mache ich dort etwas falsch?

Ich muss doch irgendwo Fehler machen oder hast Du eine Erklärung hierfür? -

Ich mach jetzt weiter.

LG
Ulla

MAM zum Ersten
MAM zum Zweiten:
Log vonS&D (mit Zeilenumbruch oder besser ohne?

Wenn wir den Rootkit an und für sich nicht beseitigen können, dann ist bald Ende:rolleyes:

Versuche folgende Dateien mit KillBox zu entfernen:Mit Spybot S&D ist alles i.O.... Es ist einfach so, dass der Rootkit dein System völlig verwüstet...
Schmeiss den Spybot S&D trotzdem raus!

"Uad72.sys"? Weg mit der aber schnell!!! Lösche sie mit KillBox

Mach dann aber bitte noch die anderen Sachen durch die ich dir gesagt habe;)

Hallo Trojan-Death,

für den Fall, dass Du hier herein schaust, ich lasse gerade parallel SUPERAnti spyware laufen. (Schon 34 Einträge und der Scan ist noch lange nicht fertig).

Soll ich danach noch e Scan durchführen oder möchtest Du Dir die Ergebnisse von SUPERAnti spyware erst ansehen? - Du hast sicher auch Besseres vor, als Dich nächtens mit meinen vielen Logfiles zu beschäftigen.

Die Neueinstellungen bei Avira habe ich auch durchgeführt. Es sind hier nebenbei zwei Einträge in die Quarantäne gekommen.

Meinst Du, wir schaffen das noch?

Herzlichen Dank und liebe Grüße

Ulla

Alles normal weitermachen... egal ob er 1 oder 400 findet;)


Willst du darauf wirklich ne Antwort?

Hallo Trojan-Death,

jetzt kommt der Text von SuperAnti Spyware. Da ist schon einiges drin, was ich mit Killbox entfernen soll. In welcher Reihenfolge soll ich jetzt weitermachen? Erst entfernen mit SuperAnti Spyware?

Spybot ist deinstalliert.

LG
Ulla

Kumpel...

Vergiss es!!! Dein System wird komplett von den Rootkit's gesteuert und ist nicht mehr zu retten...
Deinen Rechner bereinigen zu wollen ist etwa gleich aussichtslos, wie, wenn du hoffst einzelne Körnchen von nem Sandberg wegtransportieren zu können und der Berg irgendwann verschwunden ist:D
Sorry... Der, besser gesagt die Rootkits, sind einfach nicht mehr zu beherrschen:rolleyes:
Du musst deinen Rechner nun wirklich Neuaufsetzen.

grüsse
trojan-death

Hoi, wenn ich mal kurz was erläutern darf:
Ich frage mich, was die Rootkits verstecken. ;)

:D
Hab Ulla schon nach den ersten paar Log's zum Neuaufsetzen geraten:rolleyes:

Hab ich gelesen, aber vielleicht ist Ulla nicht im Klaren, um was es sich bei einem BotNet handelt. ;)

Vielleicht erst auch, wenn die Kripo die Türe eintritt. :p

:aplaus:
Hab ihm schon mehrmals erklärt was ein Rootkit ist und das Neuaufsetzen die schnellste und sicherste Lösung ist:D
Das mit dem BotNet ist erst beim letzten Log rausgekommen... Nicht das ich das nicht vermutet hätte aber nun hab ich's Schwarz auf Gelb:lach:

Hallo Trojan-Death und Dark-Viruz,

leider ist mein Internet im Moment sehr langsam und ich komme mit dem antworten nicht hinterher.

Bitte, in Eurem Bereich bin ich Anfänger und gewisse Sachen, die Euch geläufig sind, weiß ich nicht.

Ich werde mein System neu aufsetzen und möchte Euch noch fragen, ob ich die Einträge von Super Antispyware noch löschen soll, damit ich vielleicht noch ein paar Daten sichern kann?

Liebe Grüße

Ulla

Lies dir durch, was ein BotNet ist und ein Rootkit;)
Löschen hilft absolut nix mehr...
Sichere das nötigste und fertig.
Gehe dieser Anleitung fürs Neuaufsetzen nach.

Hallo Trojan-Death,

o. k., mache ich.

Herzlichen Dank, dass Du Dir die viele Zeit für mein Problem genommen hast.

Ich hoffe, Du nimmst nicht Reißaus, wenn ich mich einmal wieder mit einem Problem auf diesem Board melde.

Ich habe gern mit Dir korrespondiert und auch wenn ich mich wiederhole, ich freue mich, Dich kennengelernt zu haben.

Ich wünsche Dir alles Gute bis vielleicht irgendwann einmal

Ulla

PS: Ulla ist ein Mädchenname

Ok Mädchen

Gern geschehen;) Hat mich auch gefreut...

grüsse trojan-death

Hier noch was für die Zukunft (nicht speziell für Dich):

Sicher ins Netz

Danke Dark;) Werde ich gebrauchen können:lach:

Kein Problem, habs mir auch schon durchgelesen :D

Hmm is ja krass ich hatte genau das gleiche Problem wie du Ulla. Der simulierte Absturz, pop ups die mir standig irgendein Antivirus Programm andrehen wollten. Nun komischerweise hats bei mir bis jetzt gereicht Malwarebyte und smidfraudfix drüberzulassen. Letze Nacht hab ich zwar nochmal ne "Antivir" Meldung bekommen dass es einen Trojaner/Zlob gefunden hat welchen ich aber gelöscht habe. Hier mal das Log von smidfraudfix. Was denkt ihr? Sauber?

Sorry will nicht den Thread irgendwie zumüllen oder an mich reissen, aber ich denke mal es lohnt nicht dafür ein eigenes thema zu eröffnen. Mf:dankeschoen:G

Hi watercooler und :hallo:

Bitte erstelle wie jeder andere hier einen eigenen Thread mit einem Hijackthis Log;)

Noch kurz: Bei Ulla war schon von Anfang an ein Rootkit aktiv(Habe ihm/r auch mehrmals zum Neuaufsetzen geraten, aber er/sie wollte es nicht und hat mich ausdrücklich gebeten, zu versuchen seinen/ihren Rechner wieder flott zu kriegen)... Wenn du glück hast kriegst du den eigentlichen Rootkit vlt. weg aber wenn er schon deinen ganzen Rechner zu S**** gemacht hat, wie das bei Ulle der Fall ist, kannst du nichts mehr machen:rolleyes: Dazu kommt noch, dass er/sie ein Teil eines BotNet's war/ist...
Hier am Board behandlen wir im normal Fall keine Rootkit und/oder Backdoor infizierungen, da man immer im Ungewissen bleibt. Lies dir dazu folgende Erklärungen durch:
--->Rootkit
--->Backdoor
--->BotNet

grüsse trojan-death