Virus/Trojaner ganz beseitigt?

#0
14.07.2007, 11:07
...neu hier

Beiträge: 2
#1 Hi erstmal,
da es mein erster Post ist verzeiht mir bitte eventuelle Fehler.
Als ich heute Morgen meinen Pc gestartet habe wurd ich erstmal von einem bluescreen begrüsst ("schwerer ausnahmefehler, programm wird neugestartet um eventuelle fehler zu vermeiden" oder so ähnlich). Mein Verdacht war direkt, dass ich mir irgendwas eingefangen habe.
Nach Neustart des Systems habe ich direkt Avast laufen lassen, welches auch eine .dll Datei gefunden hat und sie mit "Win32:..." bezeichnet hat, leider weiss ich nichtmehr die genaue Bezeichnung und ein Logfile hab ich auch nicht gefunden.
Ich konnte die Datei löschen und habe dann den Pc neugestartet um noch einen Virenscan vor dem Start von Windows zu machen.
Die Datei wurde nicht widergefunden jedoch kam folgendes dabei raus:
Datei F:\Programme\SmartFTP Client 2.0\smartftp.client.2.0-patch.exe ist infiziert von Win32: Delf-ETF .
Da ich meine Datenplatte (F) immer für sicher gehalten habe zweifelte ich nun doch etwas ob nicht noch mehr Dateien befallen sein könnten die im Hintergrund laufen.
Euer Forum hat mir schon mehrmals geholfen und ich konnte bis jetzt jeden Virus/Trojaner beseitigen, doch endet mein Wissen bei Pc doch sehr schnell und deswegen wär ich froh wenn sich mal jemand die folgenden Logs anschaun könnte:


HJT Logfile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:40:54, on 14.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
f:\Programme\Alwil Software\Avast4\aswUpdSv.exe
f:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
F:\Programme\DAEMON Tools\daemon.exe
f:\Programme\Logitech\MouseWare\system\em_exec.exe
F:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
F:\Programme\CyberLink\PowerDVD\PDVDServ.exe
F:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
F:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
f:\Programme\Alwil Software\Avast4\ashMaiSv.exe
f:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\explorer.exe
C:\Programme\Java\jre1.5.0_10\bin\jucheck.exe
F:\Programme\Opera\Opera.exe
F:\HJT\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "f:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WinPatrol] f:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe
O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\QuickTime Alternative\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] f:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [CloneCDTray] "f:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Adobe Photo Downloader] "F:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avast!] f:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Programme\Octoshape Streaming Services\Tenaka\OctoshapeClient.exe" -inv:bootrun
O4 - HKLM\..\Policies\Explorer\Run: [SystemManager] C:\WINDOWS\system32\msadm.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = F:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = F:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: (no name) - {F4430FE8-2638-42e5-B849-800749B94EED} - (no file)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O20 - Winlogon Notify: slbipsch - C:\WINDOWS\
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - f:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - f:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - f:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - f:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - F:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

--
End of file - 5692 bytes


---------------------------------------------------------------------------


combofix:
Tenaka" - 2007-07-14 9:37:47 - ComboFix 07-07-13.8 - Service Pack 2 NTFS


((((((((((((((((((((((((( Files Created from 2007-06-14 to 2007-07-14 )))))))))))))))))))))))))))))))


2007-07-14 09:02 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-06-26 16:38 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DirectX
2007-06-23 21:38 <DIR> d-------- C:\Programme\Octoshape Streaming Services


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-05 13:24:37 -------- d-----w C:\DOKUME~1\Tenaka\ANWEND~1\teamspeak2
2007-06-29 21:57:12 -------- d-----w C:\DOKUME~1\Tenaka\ANWEND~1\uTorrent
2007-06-26 14:38:03 108,144 ----a-w C:\WINDOWS\system32\CmdLineExt.dll
2007-06-25 11:03:55 163,644 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-06-25 10:28:29 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-06-09 11:51:16 -------- d-----w C:\Programme\Gemeinsame Dateien\Blizzard Entertainment
2007-06-08 15:37:02 -------- d-----w C:\DOKUME~1\Tenaka\ANWEND~1\Hamachi
2007-06-08 14:43:25 43,520 ----a-w C:\WINDOWS\system32\CmdLineExt03.dll
2007-06-08 13:52:04 30,681 ----a-w C:\WINDOWS\scunin.dat
2007-06-08 13:52:03 967 ----a-w C:\WINDOWS\ScUnin.pif
2007-06-08 13:52:03 69,632 ----a-w C:\WINDOWS\ScUnin.exe
2007-06-08 13:49:09 25,544 ----a-w C:\WINDOWS\system32\drivers\hamachi.sys
2007-06-08 10:23:33 -------- d-----w C:\DOKUME~1\Tenaka\ANWEND~1\DivX
2007-06-07 17:05:55 -------- d-----w C:\DOKUME~1\Tenaka\ANWEND~1\Joost
2007-06-04 14:40:38 -------- d-----w C:\DOKUME~1\Tenaka\ANWEND~1\EAST Technologies
2007-06-04 14:22:54 28,672 ----a-w C:\WINDOWS\system32\drivers\CO_Mon.sys
2007-05-31 06:45:07 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2007-05-31 06:44:55 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2007-05-31 06:44:54 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2007-05-31 06:44:54 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2007-05-31 06:44:54 740,442 ----a-w C:\WINDOWS\system32\DivX.dll
2007-05-30 18:54:36 -------- d-----w C:\DOKUME~1\Tenaka\ANWEND~1\Autodesk
2007-05-30 18:42:45 -------- d-----w C:\Programme\Gemeinsame Dateien\Autodesk Shared
2007-05-30 18:39:17 -------- d-----w C:\Programme\AutoCAD 2008
2007-05-30 18:25:03 -------- d-----w C:\Programme\Autodesk
2007-05-30 18:21:29 74,996 ----a-w C:\WINDOWS\system32\perfc007.dat
2007-05-30 18:21:29 415,470 ----a-w C:\WINDOWS\system32\perfh007.dat
2007-04-30 15:53:18 21,840 ----atw C:\WINDOWS\system32\SIntfNT.dll
2007-04-30 15:53:18 17,212 ----atw C:\WINDOWS\system32\SIntf32.dll
2007-04-30 15:53:18 12,067 ----atw C:\WINDOWS\system32\SIntf16.dll
2007-04-30 15:46:10 745,600 ----a-w C:\WINDOWS\system32\aswBoot.exe
2007-04-30 15:35:28 95,872 ----a-w C:\WINDOWS\system32\AVASTSS.scr
2007-04-28 18:01:06 409,600 ----a-w C:\WINDOWS\system32\wrap_oal.dll
2007-04-28 18:01:06 114,688 ----a-w C:\WINDOWS\system32\OpenAL32.dll
2007-04-23 00:15:29 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2007-04-23 00:15:24 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2007-04-23 00:15:24 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2007-04-23 00:15:24 116,472 ------w C:\WINDOWS\system32\pxcpyi64.exe
2007-04-23 00:15:18 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2007-04-23 00:15:18 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2007-04-23 00:02:34 73,728 ----a-w C:\WINDOWS\system32\dpl100.dll
2007-04-23 00:02:34 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2007-04-23 00:02:33 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2007-04-23 00:02:31 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2007-04-23 00:02:31 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2007-04-23 00:02:31 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2007-04-23 00:02:31 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2007-04-23 00:02:31 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2007-04-23 00:01:47 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2007-04-23 00:01:46 124,472 ----a-w C:\WINDOWS\system32\DivXCodecUpdateChecker.exe
2006-04-03 13:06:30 457 ----a-w C:\Programme\INSTALL.LOG


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}]
2006-10-22 23:08 62080 --a------ C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
2006-11-09 16:21 440056 --a------ C:\Programme\Java\jre1.5.0_10\bin\ssv.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-11 10:50 C:\WINDOWS\LOGI_MWX.EXE]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_10\bin\jusched.exe" [2006-11-09 16:07]
"DAEMON Tools"="f:\Programme\DAEMON Tools\daemon.exe" [2005-12-10 16:57]
"WinPatrol"="f:\PROGRA~1\BILLPS~1\WINPAT~1\winpatrol.exe" [2005-12-12 23:18]
"QuickTime Task"="F:\Programme\QuickTime Alternative\qttask.exe" [2006-04-05 13:44]
"RemoteControl"="f:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2005-01-12 03:01]
"CloneCDTray"="f:\Programme\SlySoft\CloneCD\CloneCDTray.exe" [2005-05-19 15:47]
"Adobe Photo Downloader"="F:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-06-23 20:33]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-10-31 19:10]
"avast!"="f:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-04-30 17:42]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Octoshape Streaming Services"="C:\Programme\Octoshape Streaming Services\Tenaka\OctoshapeClient.exe" []

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer\Run]
"SystemManager"=C:\WINDOWS\system32\msadm.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoLowDiskSpaceChecks"=1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\slbipsch]


[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{124425c0-182a-11da-9fba-806d6172696f}]
AutoRun\command- D:\AUTORUN\AUTORUN.EXE


Contents of the 'Scheduled Tasks' folder
2007-07-13 15:15:00 C:\WINDOWS\tasks\1-Klick-Wartung.job

**************************************************************************

catchme 0.3.915 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-14 09:38:33
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-07-14 9:39:01
C:\ComboFix2.txt ... 2006-12-19 23:03

--- E O F ---


P.S.: Es existiert auch bereits seit einem Monat ein Ordner, der sich nicht öffnen und löschen lässt.

Datfind.txt gekürtzt und als Anhang an den Thread angehangen.


Vielen Dank schonmal

Anhang: datfind.txt
Seitenanfang Seitenende
14.07.2007, 14:45
Moderator

Beiträge: 7805
#2 Sofern die von Avast gemeldete *delf* Datei kein Cr*ck oder aehnliches ist, wuerde ich auf Fehlalarm tippen.

Diesen Eintrag solltest du in Hijackthis anhaken und fix checked druecken:
O4 - HKLM\..\Policies\Explorer\Run: [SystemManager] C:\WINDOWS\system32\msadm.exe

starte neu und schaue, ob deer Eintrag verschwunden ist.

Schaue bitte auch, ob du die Datei C:\WINDOWS\system32\msadm.exe finden kannst. Es kann sein, das du deinen Explorer noch so einstellen musst: http://freenet-homepage.de/rene-gad/invisible.html
Wenn du die Datei finden solltest, teste diese bei Jotti oder Virustotal
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
14.07.2007, 16:26
...neu hier

Themenstarter

Beiträge: 2
#3

Zitat

Diesen Eintrag solltest du in Hijackthis anhaken und fix checked druecken:
O4 - HKLM\..\Policies\Explorer\Run: [SystemManager] C:\WINDOWS\system32\msadm.exe
Danke für die schnelle Antwort.
Die Datei lies sich Problemlos entfernen und ist auch nichtmehr aufgetaucht.
Seitenanfang Seitenende
15.07.2007, 13:46
Moderator

Beiträge: 7805
#4 Du solltest diesen Eintrag noch beseitigen:
O20 - Winlogon Notify: slbipsch - C:\WINDOWS\


Nach einem Neustart solltest du www.windowsupdate.com besuchen, um dein Windows auf dem neusten Stand zu bringen.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: