Trojaner-Board - erst trojana TR/DLDR.codecpac.kzf gefunden und weitere: was tun?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - erst trojana TR/DLDR.codecpac.kzf gefunden und weitere: was tun? (https://www.trojaner-board.de/87865-erst-trojana-tr-dldr-codecpac-kzf-gefunden-tun.html)

erst trojana TR/DLDR.codecpac.kzf gefunden und weitere: was tun?

Hallo an alle, gestern habe ich Avira Antivir personal installiert und er hat auch sofort angeschlagen und den Trojaner unter C:\WINDOWS\SYSTEM32\TR/DLDR.codecpac.kzf gefunden und in quarantäne verschoben. Jetzt habe ich noch einen weiteren Scan durchgeführt. Hier mal das Ergebnis:
Beginne mit der Desinfektion:
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PS3GX67G\leal[1].exe
[FUND] Ist das Trojanische Pferd TR/Injector.bzfp
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '479354d7.qua' verschoben!
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PS3GX67G\leai[1].exe
[FUND] Ist das Trojanische Pferd TR/PSW.Magania.ddme
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '5f047b70.qua' verschoben!
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\N8LRCU38\leat[1].exe
[FUND] Ist das Trojanische Pferd TR/Dldr.CodecPack.kzf
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '0d5b2198.qua' verschoben!
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\N8LRCU38\leaq[1].exe
[FUND] Ist das Trojanische Pferd TR/Agent.AR.214
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '6b6c6e5a.qua' verschoben!
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\JOQ388O0\leak[1].exe
[FUND] Ist das Trojanische Pferd TR/Spy.Bebloh.A.65
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '2ee84364.qua' verschoben!
C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Temporary Internet Files\Content.IE5\JOQ388O0\leag[1].exe
[FUND] Ist das Trojanische Pferd TR/Agent.dvhx
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '51f37105.qua' verschoben!
C:\Dokumente und Einstellungen\Frau Rohn\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YMTTW2NA\1673519[1].js
[FUND] Enthält verdächtigen Code: HEUR/HTML.Malware
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '1db55d1e.qua' verschoben!
C:\Dokumente und Einstellungen\Frau Rohn\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NXFRQZUP\3720157[1].js
[FUND] Enthält verdächtigen Code: HEUR/HTML.Malware
[HINWEIS] Der Fund wurde als verdächtig eingestuft.
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '61a21d4d.qua' verschoben!
C:\Dokumente und Einstellungen\Frau Rohn\Lokale Einstellungen\Temp\plugtmp-131\plugin-Notes7.pdf
[FUND] Enthält Erkennungsmuster des Exploits EXP/Pidief.note
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4c353255.qua' verschoben!
C:\Dokumente und Einstellungen\Frau Rohn\Anwendungsdaten\Sun\Java\Deployment\cache\6.0\33\1108a961-3cfa4dd0
[FUND] Enthält Erkennungsmuster des Exploits EXP/Java.3243
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '55960984.qua' verschoben!

Ende des Suchlaufs: Mittwoch, 7. Juli 2010 05:09
Benötigte Zeit: 22:54 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

6107 Verzeichnisse wurden überprüft
215963 Dateien wurden geprüft
10 Viren bzw. unerwünschte Programme wurden gefunden
2 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
10 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
0 Dateien konnten nicht durchsucht werden
215951 Dateien ohne Befall
1864 Archive wurden durchsucht
0 Warnungen
10 Hinweise
ok und nun zu meinen Fragen:
- was mach ich jetzt mit den ganzen dateien bzw. können die jetzt noch Schaden anrichten? (bei recherchen zu dieser Frage bin ich auf unterschiedliche Meinungen gestoßen)
- falls nicht wie kann ich die viren komplett von meinem system entfernen?

Hinzu kommt das ich nicht weiß wie lange die Trojaner schon auf meinem Pc wüten und was evtl. dadurch für systemänderungen vorgenommen worden sind
Auf jedenfall brauch ich dringend hilfe, da ich eigentlich nicht darauf aus bin meine Festplatte zu formatieren und alles neu zu installieren. Es wäre echt super wenn jemand antworten würde. Ich bin überhaupt kein PC-Freakk und neu hier, habe also keinen plan von der Thematik. Ich habe auch schon in anderen foren einiges gelesen aber das hat mir nicht weitergeholfen. Das Problem ist nichts neues und wurde schon in zich Varianten ausgewertet, ich brauche die hilfe ganz detailiert(quasi bei 0);-)
Wenn ich jetzt wichtige Aspekte außer Acht gelassen habe, weist mich bitte darauf hin.
vielen Dank schon mal :-)
vlg

Hallo und Herzlich Willkommen! :)

- Die Anweisungen bitte gründlich lesen und immer streng einhalten, da ich die Reihenfolge nach bestimmten Kriterien vorbereitet habe:

1.
lade Dir HijackThis von *von hier* herunter
HijackThis starten→ "Do a system scan and save a logfile" klicken→ das erhaltene Logfile "markieren" → "kopieren"→ hier in deinem Thread (rechte Maustaste) "einfügen"

2.
Bitte Versteckte - und Systemdateien sichtbar machen den Link hier anklicken:
System-Dateien und -Ordner unter XP und Vista sichtbar machen
Am Ende unserer Arbeit, kannst wieder rückgängig machen!

3.
→ Lade Dir HJTscanlist.zip herunter
→ entpacke die Datei auf deinem Desktop
→ Bei WindowsXP Home musst vor dem Scan zusätzlich tasklist.zip installieren
→ per Doppelklick starten
→ Wähle dein Betriebsystem aus - Vista
→ Wenn Du gefragt wirst, die Option "Einstellung" (1) - scanlist" wählen
→ Nach kurzer Zeit sollte sich Dein Editor öffnen und die Datei hjtscanlist.txt präsentieren
→ Bitte kopiere den Inhalt hier in Deinen Thread.

4.
Ich würde gerne noch all deine installierten Programme sehen:
Lade dir das Tool ccleaner herunter
installieren ("Füge CCleaner Yahoo! Toolbar hinzu" abwählen)→ starten→ falls nötig - unter Options settings-> "german" einstellen
dann klick auf "Extra (um die installierten Programme auch anzuzeigen)→ weiter auf "Als Textdatei speichern..."
wird eine Textdatei (*.txt) erstellt, kopiere dazu den Inhalt und füge ihn da ein

5.
Lade Dir Malwarebytes Anti-Malware von→ malwarebytes.org

Installieren und per Doppelklick starten.
Deutsch einstellen und gleich mal die Datenbanken zu aktualisieren - online updaten
"Komplett Scan durchführen" wählen (überall Haken setzen)
wenn der Scanvorgang beendet ist, klicke auf "Zeige Resultate"
alle Funde markieren und auf "Löschen" - "Ausgewähltes entfernen") klicken.
Poste das Ergebnis hier in den Thread - den Bericht findest Du unter "Scan-Berichte"

eine bebilderte Anleitung findest Du hier: Malwarebytes Anti-Malware

Zitat:

Damit dein Thread übersichtlicher und schön lesbar bleibt, am besten nutze den Code-Tags für deinen Post:
→ vor dein Log schreibst Du:[code]
hier kommt dein Logfile rein
→ dahinter:[/code]

gruß
Coverflow

erstmal von hijackthis:
HiJackthis Logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 07:37:04, on 07.07.2010

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.17023)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe

C:\Programme\Samsung\Samsung EDS\EDSAgent.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Programme\Synaptics\SynTP\SynTPEnh.exe

C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe

C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer.exe

C:\Programme\DivX\DivX Update\DivXUpdate.exe

C:\Programme\Samsung\Easy Display Manager\dmhkcore.exe

C:\Programme\Spamihilator\spamihilator.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\T-Mobile\web'n'walk Manager\web'n'walk Manager.exe

C:\Programme\WordWeb\wweb32.exe

C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe

C:\Programme\SAMSUNG\MagicKBD\PerformanceManager.exe

C:\Programme\T-Mobile\web'n'walk Manager\GtDetectSc.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Freedom Scientific\JAWS\10.0\jfw.exe

C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

C:\Programme\CyberLink\Shared Files\RichVideo.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\igfxext.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Programme\Freedom Scientific\JAWS\10.0\JHOOKLDR.EXE

C:\Programme\Avira\AntiVir Desktop\avscan.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Dokumente und Einstellungen\Frau Rohn\Eigene Dateien\Downloads\HiJackThis204.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://www.papenmeier.de/

R3 - URLSearchHook: (no name) -  - (no file)

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (file missing)

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Programme\Ask.com\GenericAskToolbar.dll (file missing)

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [EDS] C:\Programme\Samsung\Samsung EDS\EDSAgent.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe

O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe

O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [DMHotKey] C:\Programme\Samsung\Easy Display Manager\DMLoader.exe

O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [NokiaMServer] C:\Programme\Gemeinsame Dateien\Nokia\MPlatform\NokiaMServer /watchfiles

O4 - HKLM\..\Run: [Nokia FastStart] "C:\Programme\Nokia\Nokia Music\NokiaMusic.exe" /command:faststart

O4 - HKLM\..\Run: [DivXUpdate] "C:\Programme\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW

O4 - HKLM\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"

O4 - HKCU\..\Run: [Power2GoExpress] NA

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Vidalia] "C:\Programme\Vidalia Bundle\Vidalia\vidalia.exe"

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: WordWeb.lnk = C:\Programme\WordWeb\wweb32.exe

O4 - Global Startup: web'n'walk Manager.lnk = C:\Programme\T-Mobile\web'n'walk Manager\web'n'walk Manager.exe

O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)

O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)

O15 - Trusted Zone: *.windowsupdate.com

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe

O23 - Service: GtDetectSc - Option - C:\Programme\T-Mobile\web'n'walk Manager\GtDetectSc.exe

O23 - Service: Google Update Service (gupdate1ca573326151086) (gupdate1ca573326151086) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: JFWService - Freedom Scientific BLV Group, LLC - C:\Programme\Freedom Scientific\JAWS\10.0\jfw.exe

O23 - Service: JTVNCProxy (JTVNCProxy_10.0) - Unknown owner - C:\Programme\Freedom Scientific\JAWS\10.0\JTVNCProxy.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

O23 - Service: ServiceLayer - Nokia. - C:\Programme\Nokia\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: Marvell Yukon Service (yksvc) - Unknown owner - RUNDLL32.EXE (file missing)
 

--

End of file - 9031 bytes

--- --- ---