Wieder Probleme mit Trojaner?

#1 Seit einiger Zeit alarmiert mich mein AntiVir beim öffnen einer Seite (die ich zuvor sehr oft problemlos anschauen konnte). Beim ersten mal war es
TR/Spy.Agent.42496
dann mal
TR/Spy.ZBot.ck
hatte hier Hilfe von arnold.
Nun bin ich wieder auf die seite ( da man mir sagte, es wurde nachgeschaut, neuaufgesetzt und es sei alles wieder ok)

und jetzt kam die Meldung:
TR/Spy.Wsnpoem.Y.182
nach einem Virenscann hab ich das nochmal gefunden und gelöscht. AntiVir meckert zumindest nicht mehr.

Aber entsetzt war ich heut über eine Mail von ebay, die schrieben eine dritte Person habe sich an meinem Mitglidskonto vergriffen und es wurde gespwerrt ....ich solle alles neu einstellen...

kann jemand helfen und schauen ob sich dahinter etwas vebirgt.
Viele Grüße
Christin

Hier meine Scanns:
Compofix (ist das normal, daß der Rechner während des Scanns eine Meldung kommt das Wort Löschen sei falsch geschriebeb und der Rechner neu startet???)



ComboFix 08-01-04.1 - max 2008-01-05 13:44:36.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.56 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\max\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\_install.exe nicht gefunden
C:\WINDOWS\system32\ntos.exe
C:\WINDOWS\system32\wsnpoem\audio.dll
C:\WINDOWS\system32\wsnpoem\audio.dll.cla
C:\WINDOWS\system32\wsnpoem\video.dll
C:\WINDOWS\system32\wsnpoem

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-05 bis 2008-01-05 ))))))))))))))))))))))))))))))
.

2008-01-05 13:44 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-15 20:48 --------- d-----w C:\Programme\SopCast
2007-12-15 20:28 --------- d-----w C:\Dokumente und Einstellungen\max\Anwendungsdaten\SopCast
2007-11-19 18:39 --------- d-----w C:\Programme\Java
2007-11-19 18:38 --------- d-----w C:\Programme\Gemeinsame Dateien\Java
2007-03-07 05:33 18,016 ----a-w C:\Dokumente und Einstellungen\max\Anwendungsdaten\GDIPFONTCACHEV1.DAT
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:57 15360]
"NBJ"="C:\Programme\Ahead\Nero BackItUp\NBJ.exe" [2004-08-20 10:47 1912832]
"MsnMsgr"="C:\Programme\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55 5674352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2002-08-15 11:46 46592 C:\WINDOWS\SOUNDMAN.EXE]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
"PCMService"="C:\Programme\Home Cinema\PowerCinema\PCMService.exe" [2004-10-08 16:14 81920]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 18:36 249896]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe" [2003-01-30 17:49 196608]
"HPHmon03"="C:\WINDOWS\system32\hphmon03.exe" [2003-01-30 17:49 311296]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-11-17 14:55 185896]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 01:57 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nlsf"="cmd.exe" [2004-08-04 01:57 401408 C:\WINDOWS\system32\cmd.exe]
"nlhr"="C:\WINDOWS\System32\AdvPack.Dll" [2004-08-04 01:57 102400]
"tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2004-08-04 01:38 44544]

R0 hotcore;hotcore;C:\WINDOWS\system32\drivers\hotcore.sys [2006-07-12 18:52]
R3 Dot4Usb HPH09;Dot4Usb HPH09;C:\WINDOWS\system32\drivers\hphius09.sys [2003-01-30 17:55]

.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-05 13:48:15
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-01-05 13:51:18 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-05 12:50:48
ComboFix2.txt 2007-12-11 17:35:05
ComboFix3.txt 2007-11-19 17:51:07
ComboFix4.txt 2007-11-19 17:23:14

--------------

HijackThis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:21:23, on 05.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\HPHipm09.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\WINDOWS\system32\hphmon03.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\DOKUME~1\max\LOKALE~1\Temp\Temporäres Verzeichnis 1 für HTJ.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [HPHmon03] C:\WINDOWS\system32\hphmon03.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Pml Driver - HP - C:\WINDOWS\system32\HPHipm09.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 5159 bytes

#2 Hallo

eigentlich sollte combofix das Problem behoben haben... scanne noch mal mit
http://www.virus-protect.org/cureit.html
und berichte, ob was gefunden wurde.
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#3 Hallo Pinguin,

danke für Deine Antwort!

Schreibe zur Zeit nicht von meinem Rechner aus und den Scann kann ich dann erst später machen (wenn ich wieder zu hause bin).
poste das dann hier!
Viele Grüße
Christin

PS:
Hat etwas gedauert, hab es aber hin bekommen:

ppmate.dll C:\Programme\PPMate\PPMate Adware.Dudu.origin Verschoben.

A0001022.dll C:\System Volume Information\_restore{D3C9EB80-7215-455B-AE7D-A943F201AEBB}\RP1 Adware.Dudu.origin Verschoben.

#4 Schicke mir bitte den Link zu der Seite, wo das aufgetaucht ist per PM
http://board.protecus.de/pm.php?action=new&recipient=raman
__________
MfG Ralf
SEO-Spam Hunter

#5 Ich war auch mal da,und wurde infiziert


__________
MfG Argus

#6 Nachtrag. Mit Firefox ware dir diese infektion erspart geblieben. Ein aktuell gepatchtest Windows mit IE7 haette das wahrscheinlich auch verhindert.

BTW: Du solltest alle deine Passworte wechseln...
__________
MfG Ralf
SEO-Spam Hunter

#7 Hallo ihr zwei,

danke!
Also lieber mit Firefox ins Netz gehen!
Ich bitte etwas um Nachsicht, bin bei Techniksachen etwas hinter dem Mond….und brauch immer etwas länger…

Was da jetzt verschoben wurde, ist so ok und kann ich so lassen?
Passwörter hatte ich gestern von meinem Sohn seinem PC aus geändert.

Auf meinem Rechner ist jetzt nix mehr?

Bei PPmate, ich hab diesen Player , muß ich die Software löschen und neu installieren (letzte Zeit ist der Player eh immer abgestürzt).

Viele Grüße

#8 Entferne auf C:\ Qoobox-->Papierkorb leeren

CombiFix entfernen
Start > Ausführen>Kopiere rein Combofix /U OK

Systemwiederherstellung
Arbeitsplatz>>Rechtsklick, dann auf Eigenschaften>>Reiter Systemwiederherstellung>>
Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
Neu Starten
Dann wieder aktivieren (Häkchen entfernen)
__________
MfG Argus

#9 Achso, die Seite war das. Ja, die ist immer noch infiziert. Die haben da nur halbe arbeit geleistet. Sprich die eigentliche Hauptseite ist nicht mehr infiziert, aber bei dem Popup, was dort gleich auftaucht haben sie vergessen das zu beseitigen. Ich habe nochmals die abuseabteilung angeschrieben, aber das kann daueren....
__________
MfG Ralf
SEO-Spam Hunter

#10 Danke euch beiden!

Im abgesicherten Modus muß ich nix nochmal machen?

#11 Nein, Combofix hat dir die Malware geloescht. bzw Antivir .

PPmate kannst du deinstallieren dir eine aktuelle(!) Version neu herunterladen.

Du solltest via www.windowsupdate.com alle wichtigen Updates installieren!

Du kannst in Hijackthis die Eintraege, die [nlsf] enthalten anhaken und fix checked druecken.

Du kannst diese beiden Eintraege auch fixen:
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
__________
MfG Ralf
SEO-Spam Hunter

#12 Danke Euch vielmals!!!!



PS:
Habe jetzt aber ein neues Problem:
Nach einer gewissen Zeit im Netz kommt jetzt die Fehlermeldung:

"Generic Host Process für win32 Service hat einen Fehler festgestellt und muß beendet werden"

die Seiten sind dann offline obwohl die I-Net Verbindung noch besteht, kann dann auch nicht auf trennen klicken und muß den PC neu starten.

Hab ich eventuell etwas gelöscht was ich nicht hätte löschen sollen!? *ups*

#13 Christin777

wende an:Windows Worms Doors Cleaner
http://www.virus-protect.org/windsdoorcleaner.html

und berichte, ob die Meldung noch kommt.
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#14 Hallo Pinguin,

weis zwar nicht was ich gemacht habe ( zuerst wae im Fenster die ersten drei rote Kreuze und nur zwei grüne Häckchen....jetzt sind grüne Häckchen bis auf netbios, da ist ein gelbes Ausrufezeichen).

aber die Meldung scheint nicht mehr zu kommen. Habe den Rechner jetzt seit drei Stunden laufen!

Viele Grüße
Christin