Trojaner-Board - Trojan.Win32.FakeSpyguard!IK

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojan.Win32.FakeSpyguard!IK (https://www.trojaner-board.de/78601-trojan-win32-fakespyguard-ik.html)

Trojan.Win32.FakeSpyguard!IK

Einen schönen guten Tag wünsche ich dem TROJANER-BOARD-TEAM und allen Usern!

Seit geraumer Zeit hat sich auf meinem Computer, wie mir nun bekannt ist, ein Trojaner eingeschlichen...

Ich bekomme seit längerem beim starten von diversen Programmen diese Fehlermeldung: Windows - Kein Datenträger
Exception Processing Message c0000013 Parameters 75b0bf7c 4 75b0bf7c 75b0bf7c

Bei der Fehlermeldung habe ich die Optionen Abbrechen, Wiederholen und Weiter.
Wenn ich etliche male auf Abbrechen klicke, so kann ich das aufgerufene Programm starten.
Es kommt beispielsweise bei Programmen wie dem Browser (Opera), X-Fire, A-Squared Antimaleware etc...

Zusätzlich habe ich in meinem Arbeitsplatz ein Laufwerk namens E, welches eine Festplatte darstellen soll, auf die ich aber nicht zugreifen kann.
Ich habe ausschließlich zwei und diese heiße C und D und sind voll funktionsfähig.
Spich durch irgendein Ereignis habe ich ein weiteres Laufwerk dazu bekommen.
[Die Klärung dieses Problems wäre erst einmal unwichtig, solange der Trojaner bekämpft werden kann! Vielleicht hängt es aber auch zusammen, da sich der Trojaner auf dem Pfad "\\?\..." befindet. Siehe weiter unten,]

Zu meinem Computer: Ich haben einen 3.8Ghz AMD mit dem Betriebssystem Windows XP.

Es sollte sich um diesen "Bösewicht" handeln: Trojan.Win32.FakeSpyguard!IK
Er befindet sich unter dem Pfad: \\?\globalroot\systemroot\system32\UACxfqxrlnr.dll
(Ich habe das Fragezeichen nicht eingefügt um etwas zu verbergen, der Scanbericht hat es mir so angezeigt!!!)

Die Informationen habe ich via A-Squared Anti-Maleware erhalten, als ich einen Scan durchgeführt habe.

Teils bekomme ich die Meldung, dass dieser Eintrag nicht gelöscht werden kann und teils kann ich ihn löschen.
Was eigentlich relativ egal ist, da er bei jedem erneutem Scan wieder auftaucht.

Ich habe nach dem Trojaner gegoogelt und lediglich auf einigen Englischsprachigen Seiten gefunden, dass man nur über Neuinstallation des Systems diesen entfernt bekommt.

Ich bitte euch um Hilfe, mir bei diesem Problem zu helfen und wäre euch sehr dankbar!!!

Eine Neuinstallation käme sehr ungelegen somal ich meine Daten, die ich mit unter für meine Arbeit benötige, nicht sichern kann. (keine externe Festplatte etc. vorhanden)

Ich danke euch jetzt schon einmal für eure Hilfe!
Ich zähle auf euch!

Mit freundliche Grüßen, Chaos!

Anhang:
Hier noch der Scanbericht von A-Squared Anti-Maleware:

a-squared Anti-Malware - Version 4.5
Letztes Update: 18.10.2009 19:13:05

Scan Einstellungen:

Scan Methode: Schnelltest
Objekte: Speicher, Traces, Cookies
Archiv Scan: An
Heuristik: Aus
ADS Scan: An

Scan Beginn: 19.10.2009 02:07:42

\\?\globalroot\systemroot\system32\UACxfqxrlnr.dll gefunden: Trojan.Win32.FakeSpyguard!IK

Gescannt

Dateien: 367
Traces: 670769
Cookies: 540
Prozesse: 40

Gefunden

Dateien: 7
Traces: 0
Cookies: 0
Prozesse: 0
Registry Keys: 0

Scan Ende: 19.10.2009 02:08:52
Scan Zeit: 0:01:10

Bitte HiJackThis Log posten

Hallo nochmals,
hier die Hijackthis-file:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:48:13, on 19.10.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\a-squared Anti-Malware\a2service.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Spyware Terminator\sp_rsser.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\TUProgSt.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Programme\Opera\opera.exe

C:\Dokumente und Einstellungen\XXX-COMPUTER\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\temporary_downloads\HiJackThis.exe
 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: D - {890ACEB2-86C1-3A4E-814A-D36D474635B9} - (no file)

O2 - BHO: (no name) - {934db231-90da-41b9-9951-95c0474c5eea} - (no file)

O2 - BHO: (no name) - {C5BF49A2-94F3-42BD-F434-3604812C8955} - (no file)

O2 - BHO: (no name) - {D032570A-5F63-4812-A094-87D007C23012} - (no file)

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Malware\a2guard.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [DriverUpdaterPro] C:\Programme\iXi Tools\Driver Updater Pro\DriverUpdaterPro.exe -t

O4 - HKUS\S-1-5-20\..\Run: [samasuruzu] Rundll32.exe "C:\WINDOWS\system32\kukolare.dll",s (User 'NETZWERKDIENST')

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe

O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - h**p://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - h**p://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {4A85DBE0-BFB2-4119-8401-186A7C6EB653} - h**p://messenger.zone.msn.com/MessengerGamesContent/GameContent/Default/mjss/MJSS.cab109791.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/MessengerGamesContent/GameContent/Default/uno1/GAME_UNO1.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1229953825612

O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - h**p://messenger.zone.msn.com/MessengerGamesContent/GameContent/Default/luxr/mjolauncher.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{72704054-4FFB-4C9E-8CDC-CF05A88055FA}: NameServer = 213.191.74.11 213.191.92.82

O20 - AppInit_DLLs: ekhiss.dll C:\WINDOWS\system32\neremije.dll c:\windows\system32\marujate.dll

O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programme\a-squared Anti-Malware\a2service.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Intelligenter Hintergrundübertragungsdienst (BITS) - Unknown owner - C:\WINDOWS\

O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe

O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
 

--

End of file - 5653 bytes

Einen schönen guten Morgen wünsche ich dem TROJANER-BOARD-TEAM.

Ich möchte lediglich kund tun, dass ich nun für ca. eine Woche nicht aktiv an diesem Geschehnis teilnehmen kann, da ich mich auf einer Auslandsmontage befinde.

Vielleicht hat sich ja bis dahin etwas gefunden, wie man das Problem beheben kann.
Wenn in der Zeit weitere Informationen, Scans, Berichte etc. gefordert werden, bitte ich das nicht nachkommen dieser Sachen zu entschuldigen, da ich wie oben bereits genannt, nicht anwesend bin.

Besten Dank für die Bemühungen von meiner Seite und eine angenehme ruhige Woche.

Mit freundlichen Grüßen, ChAoS!