Viren,Trojaner und Backdoor

#1 Halle ich hab jetzt schon seit längerer Zeit probleme Viren Trojaner und co...
ich hab meinen Rechner mindestens schon 5 mal formatiert... aber nichts hilft... dazu werden es im laufe der zeit immer mehr Viren...
Hab zum beispiel vor einer stunde einen Virenscan gemacht dann gerade das gleich nochmal und es sind mehr geworden... über die Trojaner kann ich nichts finden oder stell mich zu blöd an....
Hier ist ma die liste von meinen VirenBericht...

C:\d.exe
Infiziert: Trojan.Horse.AZT

C:\d.exe
Desinfektion fehlgeschlagen

C:\d.exe
Gelöscht

C:\Dokumente und Einstellungen\HohesB\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6X8RU9E5\ddos[1].txt
Infiziert: Trojan.Horse.AZT

C:\Dokumente und Einstellungen\HohesB\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6X8RU9E5\ddos[1].txt
Desinfektion fehlgeschlagen

C:\Dokumente und Einstellungen\HohesB\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6X8RU9E5\ddos[1].txt
Gelöscht

C:\Dokumente und Einstellungen\HohesB\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KP8LU709\idjou[1].htm
Infiziert: Trojan.Horse.AZT

C:\Dokumente und Einstellungen\HohesB\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KP8LU709\idjou[1].htm
Desinfektion fehlgeschlagen

C:\Dokumente und Einstellungen\HohesB\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KP8LU709\idjou[1].htm
Gelöscht

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TWR9V9LY\pidemo[1].dat
Verdächtig: Trojan.Downloader.LoadAdv.B

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TWR9V9LY\pidemo[1].dat
Desinfektion fehlgeschlagen

C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TWR9V9LY\pidemo[1].dat
Gelöscht

C:\System Volume Information\_restore{FA30C1D6-F7CB-4F0B-BA5E-C6B42299A543}\RP10\A0003779.exe
Infiziert: Backdoor.Agent.AIZ

C:\System Volume Information\_restore{FA30C1D6-F7CB-4F0B-BA5E-C6B42299A543}\RP10\A0003779.exe
Gelöscht

C:\System Volume Information\_restore{FA30C1D6-F7CB-4F0B-BA5E-C6B42299A543}\RP10\A0003780.exe
Infiziert: DeepScan:Generic.Sdbot.5A37D599

C:\System Volume Information\_restore{FA30C1D6-F7CB-4F0B-BA5E-C6B42299A543}\RP10\A0003780.exe
Desinfektion fehlgeschlagen

C:\System Volume Information\_restore{FA30C1D6-F7CB-4F0B-BA5E-C6B42299A543}\RP10\A0003780.exe
Gelöscht

C:\System Volume Information\_restore{FA30C1D6-F7CB-4F0B-BA5E-C6B42299A543}\RP10\A0003806.exe
Infiziert: Trojan.Horse.AZT

C:\System Volume Information\_restore{FA30C1D6-F7CB-4F0B-BA5E-C6B42299A543}\RP10\A0003806.exe
Desinfektion fehlgeschlagen

C:\System Volume Information\_restore{FA30C1D6-F7CB-4F0B-BA5E-C6B42299A543}\RP10\A0003806.exe
Gelöscht

C:\WINDOWS\system\msnrav.exe
Infiziert: Backdoor.IRCBot.ABEM

C:\WINDOWS\system\msnrav.exe
Desinfektion fehlgeschlagen

C:\WINDOWS\system\msnrav.exe
Löschung fehlgeschlagen

C:\WINDOWS\system32\ferma12.dll
Infiziert: Trojan.Spy.Banker.CKW

C:\WINDOWS\system32\ferma12.dll
Desinfektion fehlgeschlagen

C:\WINDOWS\system32\ferma12.dll
Löschung fehlgeschlagen

C:\WINDOWS\system32\fertili.dll
Infiziert: Trojan.Spy.Banker.CKW

C:\WINDOWS\system32\fertili.dll
Desinfektion fehlgeschlagen

C:\WINDOWS\system32\fertili.dll
Gelöscht

C:\WINDOWS\system32\wbem\scrcons32.exe
Infiziert: Backdoor.Agent.AIZ

C:\WINDOWS\system32\wbem\scrcons32.exe
Desinfektion fehlgeschlagen

C:\WINDOWS\system32\wbem\scrcons32.exe
Löschung fehlgeschlagen

C:\WINDOWS\wuaucpl.exe
Infiziert: DeepScan:Generic.Sdbot.5A37D599

C:\WINDOWS\wuaucpl.exe
Desinfektion fehlgeschlagen

C:\WINDOWS\wuaucpl.exe
Löschung fehlgeschlagen


Hier noch mein HiJackThis Bericht


Logfile of HijackThis v1.99.1
Scan saved at 21:48:37, on 05.09.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system\msnrav.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\System32\wbem\scrcons32.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\Versatel\Versatel.exe
C:\WINDOWS\System32\wpabaln.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\HohesB\Desktop\blub\blub.com.exe




R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.versatel.de/internet-cd/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.versatel.de/internet-cd/
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: H - {AB800DA0-CFC9-4bcc-BC3E-DBA1E07002E5} - ferma12.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Windows System Update Tools] upds.exe
O4 - HKLM\..\Run: [Microsft Security Monitor Process] mssmpp.exe
O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe
O4 - HKLM\..\Run: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINDOWS\System32\algs.exe
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKLM\..\RunServices: [Windows System Update Tools] upds.exe
O4 - HKLM\..\RunServices: [Microsft Security Monitor Process] mssmpp.exe
O4 - HKLM\..\RunServices: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe
O4 - HKCU\..\RunServices: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{54C11CBE-1D23-4EBD-B212-D92B9631635A}: NameServer = 82.144.41.8 62.220.18.8
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Local Service - Unknown owner - C:\WINDOWS\wuaucpl.exe
O23 - Service: MSN RAV - Unknown owner - C:\WINDOWS\system\msnrav.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe


Bitte bitte helft mir ich verzweilfe langsam....

danke im vorraus

#2 Hi,

Du hast ja einen ganzen Zoo auf Deinem Rechner...

Windows und Explorer mal updaten!

Wir können eine Reinigung versuchen...

Also:
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Windows System Update Tools
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Microsft Security Monitor Process
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Windows Network Firewall
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|WMI Standard Event Consumer - Scripting
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Application Layer Gateway Service
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices|Windows System Update Tools
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices|Microsft Security Monitor Process
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices|WMI Standard Event Consumer - Scripting



Files to delete:
C:\d.exe
C:\WINDOWS\System32\wbem\scrcons32.exe
C:\Dokumente und Einstellungen\HohesB\Desktop\blub\blub.com.exe
C:\WINDOWS\System32\firewall.exe
C:\WINDOWS\System32\algs.exe
C:\WINDOWS\System32\upds.exe
C:\WINDOWS\System\upds.exe
C:\WINDOWS\upds.exe
C:\WINDOWS\System32\mssmpp.exe
C:\WINDOWS\system\mssmpp.exe
C:\WINDOWS\mssmpp.exe
C:\WINDOWS\system\msnrav.exe
C:\WINDOWS\wuaucpl.exe

Folders to delete:
C:\Dokumente und Einstellungen\HohesB\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6X8RU9E5\

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten



Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Zitat

O23 - Service: MSN RAV - Unknown owner - C:\WINDOWS\system\msnrav.exe
O23 - Service: Local Service - Unknown owner - C:\WINDOWS\wuaucpl.exe
O4 - HKCU\..\RunServices: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe
O4 - HKCU\..\Run: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe
O4 - HKLM\..\RunServices: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe
O4 - HKLM\..\RunServices: [Microsft Security Monitor Process] mssmpp.exe
O4 - HKLM\..\RunServices: [Windows System Update Tools] upds.exe
O4 - HKLM\..\Run: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe
O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe
O4 - HKLM\..\Run: [Microsft Security Monitor Process] mssmpp.exe
O4 - HKLM\..\Run: [Windows System Update Tools] upds.exe
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: H - {AB800DA0-CFC9-4bcc-BC3E-DBA1E07002E5} - ferma12.dll (file missing)

Poste alle Logs...

Eine Firewall installieren, was auch immer (ZoneAlarm, Sygate, ...).

scanne mit ewido und poste den scanreport
http://virus-protect.org/onlinescan.html

Chris

#3 Danke erstmal für deine Hilfe hab soweit alles gemacht...
konnte diese Datein zu fixen nicht finden.


O4 - HKLM\..\RunServices: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe
O4 - HKLM\..\RunServices: [Microsft Security Monitor Process] mssmpp.exe
O4 - HKLM\..\RunServices: [Windows System Update Tools] upds.exe
O4 - HKLM\..\Run: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe
O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe
O4 - HKLM\..\Run: [Microsft Security Monitor Process] mssmpp.exe
O4 - HKLM\..\Run: [Windows System Update Tools] upds.exe


evtl hat Avenger die schon bereinigt???
Hier ist der scan von ewido.... immernoch reichlich Viren/Trojaner drauf
Es muss doch irgendwie gehen das ich die los werde...

Name: TrackingCookie.2o7
Path: C:\Dokumente und Einstellungen\HohesB\Cookies\hohesb@2o7[1].txt
Risk: Medium

Name: TrackingCookie.Adbrite
Path: C:\Dokumente und Einstellungen\HohesB\Cookies\hohesb@adbrite[2].txt
Risk: Medium

Name: TrackingCookie.71i
Path: C:\Dokumente und Einstellungen\HohesB\Cookies\hohesb@adicqserver.71i[1].txt
Risk: Medium

Name: TrackingCookie.Adtech
Path: C:\Dokumente und Einstellungen\HohesB\Cookies\hohesb@adtech[1].txt
Risk: Medium

Name: TrackingCookie.Adtiger
Path: C:\Dokumente und Einstellungen\HohesB\Cookies\hohesb@adtiger[2].txt
Risk: Medium

Name: TrackingCookie.Advertising
Path: C:\Dokumente und Einstellungen\HohesB\Cookies\hohesb@advertising[1].txt
Risk: Medium

Name: TrackingCookie.Ivwbox
Path: C:\Dokumente und Einstellungen\HohesB\Cookies\hohesb@ivwbox[2].txt
Risk: Medium

Name: TrackingCookie.Komtrack
Path: C:\Dokumente und Einstellungen\HohesB\Cookies\hohesb@komtrack[2].txt
Risk: Medium

Name: TrackingCookie.2o7
Path: C:\Dokumente und Einstellungen\HohesB\Cookies\hohesb@sevenoneintermedia.112.2o7[1].txt
Risk: Medium

Name: TrackingCookie.Netflame
Path: C:\Dokumente und Einstellungen\HohesB\Cookies\hohesb@ssl-hints.netflame[1].txt
Risk: Medium

Name: TrackingCookie.Etracker
Path: C:\Dokumente und Einstellungen\HohesB\Cookies\hohesb@www.etracker[1].txt
Risk: Medium

Name: Adware.Generic
Path: HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}
Risk: Medium

Name: Backdoor.Rbot.com
Path: C:\avenger\backup.zip/avenger/scrcons32.exe
Risk: High

Name: Trojan.Small
Path: C:\Dokumente und Einstellungen\HohesB\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KP8LU709\ihsingv[1].htm
Risk: High

Name: Trojan.Small
Path: C:\emwwi.exe
Risk: High

Name: Trojan.Small
Path: C:\System Volume Information\_restore{FA30C1D6-F7CB-4F0B-BA5E-C6B42299A543}\RP11\A0003837.exe
Risk: High

Name: Trojan.Small
Path: C:\System Volume Information\_restore{FA30C1D6-F7CB-4F0B-BA5E-C6B42299A543}\RP11\A0003838.exe
Risk: High

Name: Trojan.Small
Path: C:\System Volume Information\_restore{FA30C1D6-F7CB-4F0B-BA5E-C6B42299A543}\RP11\A0003844.exe
Risk: High

Name: Trojan.Small
Path: C:\System Volume Information\_restore{FA30C1D6-F7CB-4F0B-BA5E-C6B42299A543}\RP11\A0003846.exe
Risk: High

Name: Trojan.Small
Path: C:\System Volume Information\_restore{FA30C1D6-F7CB-4F0B-BA5E-C6B42299A543}\RP12\A0003847.exe
Risk: High

Name: Backdoor.Rbot.com
Path: C:\System Volume Information\_restore{FA30C1D6-F7CB-4F0B-BA5E-C6B42299A543}\RP12\A0003876.exe
Risk: High


Hier nochmal meine HijackThis Bericht


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:04:57, on 06.09.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\Versatel\Versatel.exe
C:\WINDOWS\System32\wpabaln.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.versatel.de/internet-cd/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.versatel.de/internet-cd/
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunServices: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunServices: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe (User 'Default user')
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{54C11CBE-1D23-4EBD-B212-D92B9631635A}: NameServer = 82.144.41.8 62.220.18.8
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 4090 bytes



Hoffe du kannst mir da noch weiterhelfen oder jemand anderes...

Danke B

#4 Hi,

wir kommen der Sache näher:

Als erstes die Systemwiederherstellung ausschalten:
Systemwiederherstellung löschen
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen (das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da).

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Temporäre Dateien löschen:
cleanen
- Empty Recycle Bins
- Delete Prefetch files
- Cleanup! All Users
"
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

Systemwiederherstellung wieder einschalten (aber erst nach einem Virenlosen fullscan!)

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
reinkopieren:
C:\emwwi.exe
C:\Dokumente und Einstellungen\HohesB\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KP8LU709\ihsingv[1].htm

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

PC neustarten

HJ-Fixen:
O4 - HKUS\S-1-5-18\..\RunServices: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunServices: [WMI Standard Event Consumer - Scripting] C:\WINDOWS\System32\wbem\scrcons32.exe (User 'Default user')

So, jetzt noch einmal einen Fullscan mit EWIDO;

Installiere Antivir und stelle es wie folgt ein (dann ebenfalls Fullscan)!
Installieren: http://www.free-av.de/
Einstellung: http://board.protecus.de/t23979.htm

Die Viren sind in den Backups von Avenger, diese löschen wenn alles
richtig läuft!
Backups von Avenger&Co löschen:

C:\Qoobox - loeschen und Papierkorb leeren
C:\avenger\backup.zip - loeschen und Papierkorb leeren
C:\VundoFix Backups - loeschen und Papierkorb leeren



Systemwiederherstellung erst einschalten wenn alles wieder läuft und keine Viren mehr da sind!
Dann das gleiche wie oben bei Systemwiederherstellung nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

Chris

#5 Ich ma wieder

hab alles so gemacht wie es da stand...
Am Anfang sah es auch recht gut aus nach dem EWIDO scan..

Hier der Bericht:


__________________________________________________
ewido anti-spyware online scanner
http://www.ewido.net
__________________________________________________


Name: TrackingCookie.2o7
Path: C:\Dokumente und Einstellungen\HohesB\Cookies\hohesb@2o7[1].txt
Risk: Medium

Name: TrackingCookie.Yieldmanager
Path: C:\Dokumente und Einstellungen\HohesB\Cookies\hohesb@ad.yieldmanager[2].txt
Risk: Medium

Name: TrackingCookie.71i
Path: C:\Dokumente und Einstellungen\HohesB\Cookies\hohesb@adicqserver.71i[1].txt
Risk: Medium

Name: TrackingCookie.Adtiger
Path: C:\Dokumente und Einstellungen\HohesB\Cookies\hohesb@adtiger[2].txt
Risk: Medium

Name: TrackingCookie.Adviva
Path: C:\Dokumente und Einstellungen\HohesB\Cookies\hohesb@adviva[1].txt
Risk: Medium

Name: TrackingCookie.Falkag
Path: C:\Dokumente und Einstellungen\HohesB\Cookies\hohesb@as-eu.falkag[2].txt
Risk: Medium

Name: TrackingCookie.Ivwbox
Path: C:\Dokumente und Einstellungen\HohesB\Cookies\hohesb@ivwbox[1].txt
Risk: Medium

Name: TrackingCookie.2o7
Path: C:\Dokumente und Einstellungen\HohesB\Cookies\hohesb@sevenoneintermedia.112.2o7[1].txt
Risk: Medium

Name: TrackingCookie.Netflame
Path: C:\Dokumente und Einstellungen\HohesB\Cookies\hohesb@ssl-hints.netflame[1].txt
Risk: Medium





Dann hab ich Antivir drüber laufen lassen... und das sah dann nicht so gut aus...

Hier der Bericht:


AntiVir PersonalEdition Classic
Erstellungsdatum der Reportdatei: Donnerstag, 6. September 2007 15:34

Es wird nach 1004013 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (plain) [5.1.2600]
Benutzername: HohesB
Computername: HOHESB-EEZR6GJT

Versionsinformationen:
BUILD.DAT : 247 14437 Bytes 10.05.2007 11:52:00
AVSCAN.EXE : 7.0.4.15 282664 Bytes 20.04.2007 11:37:08
AVSCAN.DLL : 7.0.4.0 41000 Bytes 07.03.2007 07:39:18
LUKE.DLL : 7.0.4.11 143400 Bytes 27.03.2007 11:26:00
LUKERES.DLL : 7.0.4.0 10792 Bytes 27.02.2007 10:19:06
ANTIVIR0.VDF : 6.35.0.1 7371264 Bytes 31.05.2006 13:08:58
ANTIVIR1.VDF : 6.39.0.129 7251968 Bytes 10.07.2007 13:17:41
ANTIVIR2.VDF : 6.39.0.207 1077248 Bytes 02.08.2007 13:17:41
ANTIVIR3.VDF : 6.39.0.216 93696 Bytes 06.08.2007 13:17:41
AVEWIN32.DLL : 7.4.0.57 2707968 Bytes 06.09.2007 13:17:41
AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 09:36:23
AVPREF.DLL : 7.0.2.1 24616 Bytes 27.03.2007 11:20:44
AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24
AVPACK32.DLL : 7.3.0.15 360488 Bytes 06.09.2007 13:17:41
AVREG.DLL : 7.0.1.2 31784 Bytes 15.03.2007 08:05:04
AVEVTLOG.DLL : 7.0.0.18 86056 Bytes 27.03.2007 11:16:01
AVARKT.DLL : 1.0.0.17 278568 Bytes 02.05.2007 10:32:22
NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 10:09:03
RCIMAGE.DLL : 7.0.1.15 2228264 Bytes 13.03.2007 09:46:00
RCTEXT.DLL : 7.0.45.0 86056 Bytes 16.03.2007 12:39:00

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Lokale Laufwerke
Konfigurationsdatei..............: C:\Programme\AntiVir PersonalEdition Classic\alldrives.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: aus
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: E:,
Durchsuche Speicher..............: ein
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Donnerstag, 6. September 2007 15:34

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wpabaln.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IEXPLORE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'versatel.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'msmsgs.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SBCSTray.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMax4.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMax4PNP.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SMAgent.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SBCSSvc.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '28' Prozesse mit '28' Modulen durchsucht

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '13' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\yiplfxih.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4750026f.qua' verschoben!
C:\Dokumente und Einstellungen\HohesB\Desktop\avenger.zip
[0] Archivtyp: ZIP
--> avenger.exe
[FUND] Enthält Signatur des SPR/Avenger-Programmes
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47450287.qua' verschoben!
C:\Dokumente und Einstellungen\HohesB\Desktop\avenger\avenger.exe
[FUND] Enthält Signatur des SPR/Avenger-Programmes
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47450289.qua' verschoben!
C:\Dokumente und Einstellungen\HohesB\Lokale Einstellungen\Temp\~DF1EA4.tmp
[FUND] Enthält Code des Word-Makrovirus W97M/Shady
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47260259.qua' verschoben!
C:\Dokumente und Einstellungen\HohesB\Lokale Einstellungen\Temp\~DFF88F.tmp
[FUND] Enthält Code des Word-Makrovirus W97M/Shady
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4726025d.qua' verschoben!
C:\Dokumente und Einstellungen\HohesB\Lokale Einstellungen\Temporary Internet Files\Content.IE5\CDG30FWF\ncrkdaflr[1].htm
[FUND] Ist das Trojanische Pferd TR/Tiny.705
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47520292.qua' verschoben!
C:\Dokumente und Einstellungen\HohesB\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KP8LU709\tvkqjf[1].htm
[FUND] Ist das Trojanische Pferd TR/Tiny.705
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '474b02b5.qua' verschoben!
C:\Dokumente und Einstellungen\HohesB\Lokale Einstellungen\Temporary Internet Files\Content.IE5\MFMREX2J\avenger[1].zip
[0] Archivtyp: ZIP
--> avenger.exe
[FUND] Enthält Signatur des SPR/Avenger-Programmes
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '474502bd.qua' verschoben!
C:\Dokumente und Einstellungen\HohesB\Lokale Einstellungen\Temporary Internet Files\Content.IE5\W9M2DMV3\gixqwflek[1].txt
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '475802e6.qua' verschoben!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TWR9V9LY\pidemo[1].dat
[FUND] Ist das Trojanische Pferd TR/Crypt.XPACK.Gen
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '474402f2.qua' verschoben!
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00001.dll
[FUND] Ist das Trojanische Pferd TR/PSW.Sinowal.NBC
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '474d02f5.qua' verschoben!
C:\WINDOWS\system32\xpdx.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'A:\'
Der zu durchsuchende Pfad A:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'D:\'
Der zu durchsuchende Pfad D:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.

Beginne mit der Suche in 'E:\'
Der zu durchsuchende Pfad E:\ konnte nicht geöffnet werden!
Das Gerät ist nicht bereit.



Ende des Suchlaufs: Donnerstag, 6. September 2007 15:40
Benötigte Zeit: 05:35 min

Der Suchlauf wurde vollständig durchgeführt.

969 Verzeichnisse wurden überprüft
42454 Dateien wurden geprüft
11 Viren bzw. unerwünschte Programme wurden gefunden
1 davon wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
11 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
42442 Dateien ohne Befall
551 Archive wurden durchsucht
2 Warnungen
0 Hinweise
0 Versteckte Objekte wurden gefunden



so natürlich auch wieder HiJackThis....



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:46:06, on 06.09.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\Versatel\Versatel.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wpabaln.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\WINDOWS\System32\notepad.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.versatel.de/internet-cd/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.versatel.de/internet-cd/
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{54C11CBE-1D23-4EBD-B212-D92B9631635A}: NameServer = 82.144.41.8 62.220.18.8
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 4513 bytes




Hoffe ich mach dich nicht mit meinen Viren verrückt *g*
Und du hast noch ein bisschen geduld....

Danke nochma Benni

#6 Hi,

fast alles weg, aber der Hammer kommt noch, der eine Neuinstallation wahrscheinlich macht!!!

Da ist ein Rootkit mit hoher Wahrscheinlichkeit aktiv (C:\WINDOWS\system32\xpdx.sys), und das Remote zu entfernen
wird nicht funktionieren.

Wir setzten mal was Brandneues ein:
McAfee Rootkit Detective
http://vil.nai.com/vil/stinger/rkstinger.aspx

Mit dem musst Du die genannte Datei finden und eleminieren (und alle Hooks die auf sie zeigen)!
Versuche das Protokoll abzukopieren und zu posten.

Wenn uns das nicht gelingt mit Blacklight:
blacklight:
http://virus-protect.org/artikel/tools/rootkithook.html

Wenn wir das Ding nicht gelöscht bekommen, bleibt nur noch das Booten
über Boot-CD und dann über Stick/CD scannen und löschen (dann läuft
der Rootkit nicht und kann problemlos gelöscht werden)...

Good luck,
Chris

Ps: Noch eine Idee, Avira hat jetzt auch einen Rootkitscanner, gehe in die Einstellungen und aktiviere ihn und nochmal suchen lasse (nach Rootkits)
Auch gmer kann den rootkit wohl finden, wir können versuchen ihn über gmer zu fixen (log poste). Es besteht allerdings die Gefahr, das Dein Windows komplett zerschossen wird! Operation am lebenden Herz

#7 Hi....

Habe jetzt das programm drüber laufen lassen... er hat da einiges gefunden...
hab zur Sicherheit noch Blacklight drüber laufen lassen auch nichts mehr gefunden
Hab nun die genannte Datei entfernt... und sie wird auch nicht mehr gefunden...
Jetzt müssen wir nur noch die letzen trojaner los werden...
brauchst du noch irgendein Bericht HiJackThis oder nen scan Bericht???

Gruß Benni

#8 Hi,

noch mal ein HJ, nenne die HJ-Exe vorher auf test.com um;
Installiere unbedingt eine Firewall, bringe das System auf den neusten Stand.
Finden die Virenscanner noch was?

chris

#9 Hier der Bericht


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:57:21, on 06.09.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\PROGRA~1\Versatel\Versatel.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wpabaln.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Trend Micro\HijackThis\test.com.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.versatel.de/internet-cd/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.versatel.de/internet-cd/
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SBCSTray] C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{54C11CBE-1D23-4EBD-B212-D92B9631635A}: NameServer = 82.144.41.8 62.220.18.8
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - Unknown owner - C:\WINDOWS\System32\nvsvc32.exe (file missing)
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 4356 bytes



Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'A:\'
[HINWEIS] Im Laufwerk 'A:\' ist kein Datenträger eingelegt!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '13' Dateien ).



das jetzt von antivir....



Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Programme\Trend Micro\HijackThis\test.com.exe
[FUND] Enthält verdächtigen Code: HEUR/Crypted.E
[WARNUNG] Die Datei wurde ignoriert.


so was muss ich nun noch tun... systemwiederherstellen...
noch was???

aber vielen dank erstmal für die super hilfe...
Hab echt Respekt davor das jemand sich so gut auskennt ^^
DANKE

Gruß Benni

#10 Hi,

sieht gut aus, aber ist das dass ganze Log von Antivir?
Backup von Avenger&gelöscht?

Dann Firewall installieren, regelmäßig Avira updaten und viel Spaß noch...

chris

#11 ja mehr war in dem Bericht nicht drin...
also an Datein die in irgendeiner weise infiziert sind...
das Backup von Avenger.... hab jetzt einfach mal suche starten lassen und hab da einfach alles gelöscht was mit Avenger zu tun hatte...


C:\Qoobox
C:\VundoFix Backups

von den beiden hab ich aber nichts gefunden....

Gruß B

#12 Hi,

hat nichts zu sagen, ist ein "Standard-Template" von mir ;o)...

Chris