Trojaner-Board - Mehrere Trojaner auf meinem Laptop

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Mehrere Trojaner auf meinem Laptop (https://www.trojaner-board.de/58905-mehrere-trojaner-meinem-laptop.html)

Mehrere Trojaner auf meinem Laptop

Hallo Trojaner-Team,

ich hoffe einfach mal, dass mein erster Beitrag hier nicht total in die Hose geht. Wenn da Informationen von mir nicht gegeben wurden oder noch logfiles fehlen, die reiche ich gerne nach.

Also, zur Problembeschreibung.
Auf meinem Laptop scheinen sich mehrere Trojaner zu tummeln. Beim Hochfahren aktivieren sich auf dem Desktop drei Verlinkungen mit den Titeln "Error Cleaner", "Privacy Protector" und "Spyware&Malware Protection." Diese verlinken auf äußerst fragwürdige Seiten, auf denen man sich einen Virenscanner downloaden soll.
Außerdem lassen sich in der Taskleiste nach der Datumsangabe "VIRUS ALERT!" und ein blinkendes Kreuz finden (anscheinend vom System selbst), die darauf hinweisen, dass man Viren im System hat und diese bereinigen sollte.

Des Weiteren poppen ca. alle 2-5 Minuten Fenster auf, die fragen, ob man sein System von Viren reinigen will - wieder mit äußerst merkwürdigen Verlinkungen.

Außerdem versucht der Wurm ca. alle 3 min., die Standartinternetseite des Internet Explorers zu ändern - was bisher von meinem Antivirenprogramm verhindert wurde.

Über den Arbeitsplatz lassen sich die lokalen Festplatten C:/ (Windowspartition) und D:/ nicht mehr aufrufen. Die externe Festplatte scheint jedoch von diesem Schwund nicht betroffen zu sein.

Nun meine Schritte, die ich bisher unternommen habe.
1) Mit McAfee VirusScan mehrmals durchgescannt - es konnten leider keine Viren entdeckt werden

Logfile:

Code:

31.08.2008        23:05:16        Statistik:

31.08.2008        23:05:16        Gescannte Dateien:        69765

31.08.2008        23:05:16        Erkannte Dateien:          0

31.08.2008        23:05:16        Gesäuberte Dateien:        0

31.08.2008        23:05:16        Gelöschte Dateien:        0

31.08.2008        23:05:16        Verschobene Dateien:        0

31.08.2008        23:07:17                Modulversion                            =        5.3.00

31.08.2008        23:07:17                DAT-Version                             =        5373

31.08.2008        23:07:17                Anzahl der Virussignaturen in EXTRA.DAT =        Kein

31.08.2008        23:07:17                Namen der Viren, die von EXTRA.DAT erkannt werden können=        Kein

Mit SUPER AntiSpyware ein paar Mal durchgescannt - folgende Ergebnisse:

Code:

SUPERAntiSpyware Scan Log

http://www.superantispyware.com
 

Generated 08/31/2008 at 11:02 PM
 

Application Version : 4.20.1046
 

Core Rules Database Version : 3552

Trace Rules Database Version: 1540
 

Scan type       : Complete Scan

Total Scan Time : 02:39:51
 

Memory items scanned      : 449

Memory threats detected   : 0

Registry items scanned    : 6707

Registry threats detected : 1

File items scanned        : 72197

File threats detected     : 7
 

Adware.Tracking Cookie

        C:\Dokumente und Einstellungen\***\Cookies\martin_gottschalk@www.safewebnavigate2008[2].txt

        C:\Dokumente und Einstellungen\***\Cookies\martin_gottschalk@protect.trustedantivirus[1].txt

        C:\Dokumente und Einstellungen\***\Cookies\martin_gottschalk@protect.trustedantivirus[3].txt

        C:\Dokumente und Einstellungen\***\Cookies\martin_gottschalk@scan.antispyware2008scanner[1].txt
 

Browser Hijacker.Internet Explorer Settings Hijack

        HKU\S-1-5-21-839522115-1383384898-1801674531-1004\Software\Microsoft\Internet Explorer\Main#Start Page [ h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 ]
 

Desktop Hijacker.AboutYourPrivacy

        C:\Dokumente und Einstellungen\***\Favoriten\Error Cleaner.url

        C:\Dokumente und Einstellungen\***\Favoriten\Privacy Protector.url

        C:\Dokumente und Einstellungen\***\Favoriten\Spyware&Malware Protection.url

Dies scheinen die Störenfriede zu sein - hoffentlich alle.
Ein entfernen der bezeichneten Dateien, sowie ein Bereinigen des Quarantäne-Ordners bringt allerdings nichts - beim Rebooten sind die Dateien wieder an Ort und Stelle.

Die "Windows-Warnungen" sehen übrigens folgendermaßen aus. Bisher hab ich da noch nichts gemacht und hoffe, ich liege damit richtig, dass der Virus und nicht Windows mir die Nachrichten schickt.

[img]
http://img222.imageshack.us/img222/6310/warninggy4.png
[/img]

Da ich mich damit wirklich nicht auskenne, hoffe ich mal auf eure Hilfe. Mit dem Hijack-Logfile konnte ich leider bisher nichts anfangen.

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:51: VIRUS ALERT!, on 31.08.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe

C:\Programme\VIA\RAID\raid_tool.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\sm56hlpr.exe

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

D:\Programme\Network Associates\VirusScan\SHSTAT.EXE

D:\Programme\Network Associates\Common Framework\UpdaterUI.exe

C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe

C:\Programme\Java\jre1.6.0_07\bin\jusched.exe

C:\WINDOWS\system32\RunDLL32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Messenger\msmsgs.exe

D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Programme\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\LxrJD31s.exe

D:\Programme\Network Associates\Common Framework\FrameworkService.exe

D:\Programme\Network Associates\VirusScan\Mcshield.exe

D:\Programme\Network Associates\VirusScan\VsTskMgr.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\system32\svchost.exe

C:\PROGRA~1\MOZILL~1\FIREFOX.EXE

D:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {2DDE4FC8-F5D0-4983-8AE4-E88A06E27A45} - (no file)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {A0B4FFEA-D466-49A8-9BB0-B7BBD2FCB449} - (no file)

O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

O4 - HKLM\..\Run: [Samsung PanelMgr] C:\WINDOWS\Samsung\PanelMgr\ssmmgr.exe /autorun

O4 - HKLM\..\Run: [RaidTool] C:\Programme\VIA\RAID\raid_tool.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [ShStatEXE] "D:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "D:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\QTTask.exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = C:\Programme\Microsoft Office\Office12\ONENOTEM.EXE

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://w*w.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1206113951437

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://w*w.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1206115840375

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{365D9CC6-CC18-410F-B026-E614CEB21AAD}: NameServer = 131.188.24.147

O17 - HKLM\System\CCS\Services\Tcpip\..\{620A1774-A125-43CB-99E9-D6FF6A46476B}: NameServer = 172.17.24.254

O17 - HKLM\System\CCS\Services\Tcpip\..\{65198C73-DCF8-4F75-ADF5-9B186590C122}: NameServer = 131.188.24.147,0.0.0.0

O17 - HKLM\System\CS1\Services\Tcpip\..\{365D9CC6-CC18-410F-B026-E614CEB21AAD}: NameServer = 131.188.24.147

O17 - HKLM\System\CS2\Services\Tcpip\..\{365D9CC6-CC18-410F-B026-E614CEB21AAD}: NameServer = 131.188.24.147

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: !SASWinLogon - D:\Programme\SUPERAntiSpyware\SASWINLO.dll

O20 - Winlogon Notify: winbue32 - winbue32.dll (file missing)

O20 - Winlogon Notify: xxyaabaw - xxyaabaw.dll (file missing)

O21 - SSODL: pdoskegl - {305A8ECF-356A-4053-BC3A-F33DE1CED254} - C:\WINDOWS\pdoskegl.dll

O21 - SSODL: rqbmvpso - {9CC8AE1A-7B50-4849-A981-42D344084221} - (no file)

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe

O23 - Service: Lexar JD31 (LxrJD31s) - Unknown owner - C:\WINDOWS\SYSTEM32\LxrJD31s.exe

O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - D:\Programme\Network Associates\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - D:\Programme\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - D:\Programme\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - C:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe

O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm
 

--

End of file - 10191 bytes

Meine Frage also: Wie bringe ich diese Viren dazu, dauerhaft zu verschwinden? Gibt es vielleicht irgendeinen wirkungsvolleren Remover? Muss ich etwa mein ganzes System neu aufsetzen? Wie ernst ist die Gefahr?

Noch dazu einige Logs

mbr:

Code:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

fsbl:

Code:

08/31/08 23:59:35 [Info]: BlackLight Engine 1.0.70 initialized

08/31/08 23:59:35 [Info]: OS: 5.1 build 2600 (Service Pack 2)

08/31/08 23:59:35 [Note]: 7019 4

08/31/08 23:59:35 [Note]: 7005 0

08/31/08 23:59:38 [Note]: 7006 0

08/31/08 23:59:38 [Note]: 7011 232

08/31/08 23:59:38 [Note]: 7035 0

08/31/08 23:59:38 [Note]: 7026 0

08/31/08 23:59:38 [Note]: 7026 0

08/31/08 23:59:42 [Note]: FSRAW library version 1.7.1024

09/01/08 00:03:48 [Note]: 2000 1012

09/01/08 00:04:14 [Note]: 7007 0

Schon mal im Voraus vielen Dank für eure Hilfe.

Armano

P.S.: Wie gesagt, falls ich noch irgendwas vergessen habe, liefere ich das gerne nach. Hoffe mal, ich hab jetzt nicht allzuviele Fehler gemacht.

Hi,

bitte MAM laufen&bereinigen lassen:

Malwarebytes Antimalware.
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html

Poste das Log...

chris

Hi, chris4you,

Mensch, das war ja mal nen super Tip, hat alles funktioniert. Ich hab jetzt mal das Prog durchlaufen lassen und sofort wurde da alles entfernt. Geht eben doch nichts über professionelle Hilfe. Hier das log:

Code:

Malwarebytes' Anti-Malware 1.25

Datenbank Version: 1102

Windows 5.1.2600 Service Pack 2
 

15:30:40 01.09.2008

mbam-log-09-01-2008 (15-30-40).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|J:\|K:\|)

Durchsuchte Objekte: 188741

Laufzeit: 2 hour(s), 31 minute(s), 41 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 1

Infizierte Registrierungsschlüssel: 11

Infizierte Registrierungswerte: 3

Infizierte Dateiobjekte der Registrierung: 16

Infizierte Verzeichnisse: 0

Infizierte Dateien: 10
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

C:\WINDOWS\pdoskegl.dll (Trojan.FakeAlert) -> Delete on reboot.
 

Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a0b4ffea-d466-49a8-9bb0-b7bbd2fcb449} (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\winbue32 (Dialer) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{305a8ecf-356a-4053-bc3a-f33de1ced254} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0\source (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\pdoskegl (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\rqbmvpso (Trojan.FakeAlert) -> Quarantined and deleted successfully.
 

Infizierte Dateiobjekte der Registrierung:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.Homepage) -> Bad: (h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2) Good: (h**p://www.google.com/) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId (Trojan.FakeAlert) -> Bad: (VIRUS ALERT!) Good: (76416-OEM-0011903-00117) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Control Panel\International\sTimeFormat (Trojan.FakeAlert) -> Bad: (HH:mm: VIRUS ALERT!) Good: (HH:mm:ss) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowControlPanel (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowRun (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuMorePrograms (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives (Hijack.Drives) -> Bad: (12) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoToolbarCustomize (Hijack.Explorer) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders (Hijack.Explorer) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispCPL (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

C:\WINDOWS\eevk.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\winbue32.dll (Dialer) -> Quarantined and deleted successfully.

C:\WINDOWS\pskt.ini (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\WINDOWS\BM436dffa3.xml (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\WINDOWS\BM436dffa3.txt (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\WINDOWS\pdoskegl.dll (Trojan.FakeAlert) -> Delete on reboot.

C:\Dokumente und Einstellungen\***\Favoriten\Error Cleaner.url (Rogue.Link) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\***\Favoriten\Privacy Protector.url (Rogue.Link) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\***\Favoriten\Spyware&Malware Protection.url (Rogue.Link) -> Quarantined and deleted successfully.

Dann nochmal nen Reboot und alle drei Virenscanner durchlaufen lassen. Bis auf den SUPERAntiSpyware findet keiner mehr was. Hier das Log:

Code:

SUPERAntiSpyware Scan Log

http://www.superantispyware.com
 

Generated 09/01/2008 at 04:07 PM
 

Application Version : 4.20.1046
 

Core Rules Database Version : 3553

Trace Rules Database Version: 1542
 

Scan type       : Complete Scan

Total Scan Time : 02:42:16
 

Memory items scanned      : 491

Memory threats detected   : 0

Registry items scanned    : 6711

Registry threats detected : 0

File items scanned        : 121677

File threats detected     : 9
 

Adware.Tracking Cookie

        C:\Dokumente und Einstellungen\***\Cookies\martin_gottschalk@www.safewebnavigate2008[1].txt

        C:\Dokumente und Einstellungen\***\Cookies\martin_gottschalk@protect.trustedantivirus[1].txt

        C:\Dokumente und Einstellungen\***\Cookies\martin_gottschalk@protect.trustedantivirus[3].txt

        C:\Dokumente und Einstellungen\***\Cookies\martin_gottschalk@scan.antispyware2008scanner[1].txt

        C:\Dokumente und Einstellungen\***\Cookies\martin_gottschalk@virusremover2008[1].txt

        C:\Dokumente und Einstellungen\***\Cookies\martin_gottschalk@pcprivacycleaner[2].txt

        C:\Dokumente und Einstellungen\***\Cookies\martin_gottschalk@gomyhit[3].txt

        C:\Dokumente und Einstellungen\***\Cookies\martin_gottschalk@adtrafficstats[1].txt

        C:\Dokumente und Einstellungen\***\Cookies\martin_gottschalk@gomyhit[2].txt

Scheinen nur Cookies zu sein. Also nochmal CCleaner drüber und jetzt läuft der Scanner grad nochmal. ich poste mal, sobald der fertig ist, erwarte aber nichts großartiges mehr. Also nochmals vielen, vielen Dank :crazy:

Armano

Hi,

zur Sicherheit das es in letzter Zeit öfter vorgekommen ist, suchen wir noch nach einem Rootkit.

Avira-Antirootkit
Downloade Avira Antirootkit und Scanne dein system, poste das logfile.
http://dl.antivir.de/down/windows/antivir_rootkit.zip

und gegen MBR-Rootkits:
Lade den MBR-Rootkitscanner von Gmer auf Deine Bootplatte:
http://www2.gmer.net/mbr/mbr.exe
Merke Dir das Verzeichnis wo Du ihn runtergeladen hast;
Start->Ausführen->cmd
Wechsle in das Verzeichnis des Downloads und starte durch Eingabe
von mbr das Programm...

Das Ergebnis sollte so aussehen:

Zitat:

D:\Downloads>mbr
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

In dem Verzeichnis wo mbr.exe liegt findest Du das Log,
poste es im Thread;

Schauen wir mal, ob noch was unerkannt rumliegt:
Datfind (Neusten Dateien finden)
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

Erwarte aber eigentlich nichts mehr...

chris

Hi Chris,

sorry, dass es so lange gedauert hat - hab gar keine Antwort mehr erwartet ;-)

Also, hier die logs, die du haben wolltest:

Avira AntiRootkit:

Code:

1: HKEY_USERS\S-1-5-21-839522115-1383384898-1801674531-1004\Software\Microsoft\MediaPlayer\Preferences -> currentbackgroundscanfolder

2: Registry

3: Value data length mismatch (136 <> 28)

1: 1/2
 

No more information available

Code:

1: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\{E9F81423-211E-46B6-9AE0-38568BC5CF6F} -> displayname

2: Registry

3: Value data mismatch

1: 2/2
 

No more information available

Hm, die gefundenen Dinge scheinen zumindest mal keine Rootkits zu sein. Da scheinen nur Daten von Microsoft zu fehlen. Naja, vielleicht bringt der CCleaner ja was.

Jetzt noch das mbr:

mbr:

Code:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net
 

device: opened successfully

user: MBR read successfully

kernel: MBR read successfully

user & kernel MBR OK

Wie von dir erwartet ist also alles ok.

Nun noch das datFind-log:

Code:

 Volume in Laufwerk C: hat keine Bezeichnung.

 Volumeseriennummer: 405E-CC90
 

 Verzeichnis von c:\
 

02.09.2008  01:40                 0 dirdat.txt

02.09.2008  00:44     1.610.612.736 pagefile.sys
 

 Verzeichnis von C:\WINDOWS\system32
 

02.09.2008  00:45            45.378 nvapps.xml

31.08.2008  18:23             1.324 d3d9caps.dat

31.08.2008  16:23             2.206 wpa.dbl

30.08.2008  01:03           404.302 perfh009.dat

30.08.2008  01:03            63.522 perfc009.dat

30.08.2008  01:03            76.402 perfc007.dat

30.08.2008  01:03           419.554 perfh007.dat

30.08.2008  01:03           974.850 PerfStringBackup.INI

19.08.2008  23:24         1.633.760 FNTCACHE.DAT

05.08.2008  03:49           107.888 CmdLineExt.dll

25.07.2008  10:36           524.288 DivXsm.exe

25.07.2008  10:36             4.816 divxsm.tlb

25.07.2008  10:34            81.920 dpl100.dll

25.07.2008  10:34           196.608 dtu100.dll

25.07.2008  10:34            53.248 dpuGUI10.dll

25.07.2008  10:34           593.920 dpuGUI11.dll

25.07.2008  10:34           294.912 dpu11.dll

25.07.2008  10:34           294.912 dpu10.dll

25.07.2008  10:34           344.064 dpus11.dll

25.07.2008  10:34            57.344 dpv11.dll

25.07.2008  10:34           823.296 divx_xx07.dll

25.07.2008  10:34           815.104 divx_xx0a.dll

25.07.2008  10:34           802.816 divx_xx11.dll

25.07.2008  10:34           823.296 divx_xx0c.dll

25.07.2008  10:34           683.520 DivX.dll

25.07.2008  10:34           161.096 DivXCodecVersionChecker.exe

23.07.2008  18:50            10.152 dsm_de.qm

23.07.2008  18:50         3.596.288 qt-dx331.dll

23.07.2008  18:48         1.044.480 libdivx.dll

23.07.2008  18:48           200.704 ssldivx.dll

23.07.2008  18:47               416 dpl100.dll.manifest

23.07.2008  18:47               416 dtu100.dll.manifest

23.07.2008  18:47             8.523 dpude.qm

23.07.2008  18:47             3.051 dtu_de.qm

23.07.2008  18:47           352.401 DivXMedia.ax

23.07.2008  18:47           634.880 divxdec.ax

23.07.2008  18:46            12.288 DivXWMPExtType.dll

18.07.2008  22:10            94.920 cdm.dll

18.07.2008  22:10            53.448 wuauclt.exe

18.07.2008  22:10            45.768 wups2.dll

18.07.2008  22:10            36.552 wups.dll

18.07.2008  22:10            33.992 wucltui.dll.mui

18.07.2008  22:09            29.896 wuaucpl.cpl.mui

18.07.2008  22:09            29.896 wuapi.dll.mui

18.07.2008  22:09           325.832 wucltui.dll

18.07.2008  22:09           215.752 wuaucpl.cpl

18.07.2008  22:09           205.000 wuweb.dll

18.07.2008  22:09           563.912 wuapi.dll

18.07.2008  22:09         1.811.656 wuaueng.dll

18.07.2008  22:08            21.192 wuaueng.dll.mui

18.07.2008  22:07           270.880 mucltui.dll

18.07.2008  22:07            29.728 mucltui.dll.mui

18.07.2008  22:07           210.976 muweb.dll

09.07.2008  10:05             6.944 jupdate-1.6.0_07-b06.log

02.07.2008  03:42            43.520 CmdLineExt03.dll

10.06.2008  02:32            73.728 javacpl.cpl

10.06.2008  02:32           139.264 javaws.exe

10.06.2008  01:21           135.168 javaw.exe

10.06.2008  01:21           135.168 java.exe

06.06.2008  17:55           385.100 jTCbaGgh.ini

06.06.2008  17:52           385.100 jTCbaGgh.ini2

06.06.2008  11:12         1.570.597 roslpkwl.ini

06.06.2008  10:50           384.789 QsDdcccf.ini

06.06.2008  10:47           384.789 QsDdcccf.ini2

06.06.2008  08:02         1.570.706 ecfcycao.ini

06.06.2008  04:58               908 SecureSrv.log
 

 Verzeichnis von C:\WINDOWS
 

29.10.2008  16:31               685 win.ini

02.09.2008  00:46            89.329 WindowsUpdate.log

02.09.2008  00:45               159 wiadebug.log

02.09.2008  00:45                50 wiaservc.log

02.09.2008  00:45             2.048 bootstat.dat

01.09.2008  17:57             1.100 SchedLgU.Txt

01.09.2008  17:28               512 randseed.rnd

31.08.2008  20:05                 0 Sti_Trace.log

28.08.2008  02:45               116 NeroDigital.ini

19.08.2008  02:32             2.072 UPGRADE.TXT

18.08.2008  23:33               280 game.ini

11.08.2008  00:42           606.848 flashax.exe

11.08.2008  00:42            12.288 impborl.dll

18.06.2008  04:55               826 goldwave.ini
 

 Verzeichnis von C:\DOKUME~1\***\LOKALE~1\Temp
 

29.10.2008  17:33                 0 1290DE.dmp

29.10.2008  17:01                 0 CD5E3.dmp

29.10.2008  16:42           368.128 de-ga2pc.7z

02.09.2008  01:27                 0 3D.tmp

02.09.2008  00:50             2.102 jusched.log

02.09.2008  00:47        28.540.928 WFV6.tmp

02.09.2008  00:46        28.540.928 WFV3.tmp

01.09.2008  16:38         1.701.089 nsmail.tmp

01.09.2008  03:19           311.296 ~DF39F7.tmp

01.09.2008  01:29           114.688 ~DF689A.tmp

31.08.2008  23:47             4.637 amt.log

31.08.2008  23:47             2.181 alm.log

31.08.2008  23:47             1.093 TWAIN.LOG

31.08.2008  23:47                 2 Twain001.Mtx

31.08.2008  23:47               156 Twunk001.MTX

31.08.2008  23:39                 0 Twunk002.MTX

19.08.2008  23:34           158.960 SSUPDATE.EXE

Wow, das sind ja ganz schön viele Dateien. Da steig ich leider nicht mehr durch. Beim Durchschauen ist mir übrigens aufgefallen, dass da Dateien von 2004 drauf sein sollen - zu einem Jahr, wo ich den Laptop noch überhaupt nicht hatte...

Naja, sicher kannst du da nen bisschen mehr Licht ins Dunkel bringen.

In tiefer Verbundenheit verneige ich mich vor deinen Kenntnissen.

Armano

Hi,

sieht gut aus, allerdings:
Hattest Du im Juni mal ein Problem?

06.06.2008 17:55 385.100 jTCbaGgh.ini
06.06.2008 17:52 385.100 jTCbaGgh.ini2
06.06.2008 11:12 1.570.597 roslpkwl.ini
06.06.2008 10:50 384.789 QsDdcccf.ini
06.06.2008 10:47 384.789 QsDdcccf.ini2
06.06.2008 08:02 1.570.706 ecfcycao.ini

Spaßeshalber schau Dir mal die Dateien an (in den Editor laden), benenne sie um (hänge ein .vir hinten dran). Das sollten Protokolldateien einer Infektion sein, ev. verschlüsselt (oder im Klartext, dann kannst Du mitlesen was Du alles gemacht hast, inkl. Passwörter im Klartext...)...

chris & out

Hi chris,

hm, kann mich nicht erinnern, dass im Juni was war. Das letzte Problem beschäftigte mich letzten Winter, da hatte ich einen Vundo und musste das System neu aufsetzen. Aber im Juni? *grübel*

Naja, wie du schon gesagt hattest, die Dateien sind verschlüsselt, lesen kann man im Editor nix. Hab sie jetzt zwar umbenannt, weiß aber nicht so genau, was das helfen soll. Naja, kommt Zeit, kommt Rat.

Vielen Dank,
Armano

Hi,

folgende Effekte:
- sollten sie wider Erwartung von einer App doch gebraucht werden, so lassen sie sich leicht "wiederherstellen"
- tauchen die Dinger wieder auf (von Zeit zu Zeit prüfen!), dann läuft noch etwas auf Deinem Rechner, was wir bisher noch nicht zu Gesicht bekommen haben (Rootkit)

chris & out

Hi,

ok, werd das immer wieder mal prüfen. Vielen Dank für die schnelle und unkomplizierte Hilfe - schnell und zuverlässig, kann ich nur weiterempfehlen. ;)

Vielen Dank noch mal an dich und das Trojaner-Board-Team.

Armano