Home » Viren, Trojaner & Malware Forum » Google Virus 11.09.08 » Themenansicht

Google Virus 11.09.08
#0
11.09.2008, 22:21
Leom
...neu hier

Beiträge: 3
#1 Hallo zusammen!
Ich habe seit zwei Tagen einen Virus auf meinem Rechner und hoffe Ihr könnt mir helfen!
Ich habe wie einige andere User im Forum das Problem, dass ich bei google zwar richtige suchergebnisse angezeigt kriege, aber die Links falsch verlinken bzw. gar nicht funktionieren.

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1141
Windows 5.1.2600 Service Pack 2

11.09.2008 21:20:57
mbam-log-2008-09-11 (21-20-37).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 127441
Laufzeit: 24 minute(s), 38 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 10
Infizierte Registrierungswerte: 5
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 1
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> No action taken.
HKEY_CLASSES_ROOT\AppID\CodecBHO.DLL (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\codecbho.codecplugin (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\codecbho.codecplugin.1 (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\codecbho.xmldomdocumenteventssink (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\codecbho.xmldomdocumenteventssink.1 (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\RichVideoCodec (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenUSave) -> No action taken.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphc7uwj0evb3 (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> No action taken.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
C:\Programme\RichVideoCodec (Trojan.FakeAlert) -> No action taken.

Zu den Vorbereitungen:

Malware Reinigungslog:

Infizierte Dateien:
C:\WINDOWS\system32\tdssadw.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssl.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssserf.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssmain.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssinit.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdsslog.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\tdssservers.dat (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\drivers\tdssserv.sys (Trojan.Agent) -> No action taken.

3. Combofix Report: im Anhang

4. HJT-Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:57:51, on 11.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\ALCWZRD.EXE
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Microsoft Office\Office\OSA.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\explorer.exe
C:\Programme\Alice\Signup\AliceCnn.exe
C:\Dokumente und Einstellungen\ahududu\Desktop\iexplore.exe
C:\Programme\HJT\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://alice.aol.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
O2 - BHO: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O5 "COM1:" /M "Stylus DX4200"
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P36 "EPSON Stylus DX4200 Series (Kopie 1)" /O6 "USB001" /M "Stylus DX4200"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Translate with &Babylon - res://C:\Programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game01.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444253540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EE13C335-142D-4578-937A-8D56A97B3B5A}: NameServer = 213.191.92.86 62.109.123.7
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avGuard Service (avGuard) - Unknown owner - C:\Programme\Ashampoo\Ashampoo AntiVirus\ashAvSrv.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe

--
End of file - 7683 bytes


5. Datfind.bat:

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 04BF-BFD2

Verzeichnis von C:\WINDOWS\system32

11.09.2008 21:44 22.561 FFASTLOG.TXT
10.09.2008 00:22 118 MRT.INI
09.09.2008 18:49 2.206 wpa.dbl
26.08.2008 13:28 16.208.504 MRT.exe
13.08.2008 22:23 609.048 TZLog.log
05.08.2008 19:41 372.872 FNTCACHE.DAT
18.07.2008 22:10 94.920 cdm.dll
18.07.2008 22:10 53.448 wuauclt.exe
18.07.2008 22:10 45.768 wups2.dll
18.07.2008 22:10 36.552 wups.dll
18.07.2008 22:10 33.992 wucltui.dll.mui
18.07.2008 22:09 29.896 wuaucpl.cpl.mui
18.07.2008 22:09 29.896 wuapi.dll.mui
18.07.2008 22:09 325.832 wucltui.dll
18.07.2008 22:09 215.752 wuaucpl.cpl
18.07.2008 22:09 563.912 wuapi.dll
18.07.2008 22:09 205.000 wuweb.dll
18.07.2008 22:09 1.811.656 wuaueng.dll
18.07.2008 22:08 21.192 wuaueng.dll.mui
18.07.2008 22:07 270.880 mucltui.dll
18.07.2008 22:07 29.728 mucltui.dll.mui
18.07.2008 22:07 210.976 muweb.dll
14.07.2008 13:09 62.976 tzchange.exe
07.07.2008 22:30 253.952 es.dll
24.06.2008 18:22 74.240 mscms.dll
24.06.2008 18:12 295.936 wmpeffects.dll
24.06.2008 10:14 3.592.192 mshtml.dll
23.06.2008 18:14 826.368 wininet.dll
23.06.2008 18:14 102.912 occache.dll
23.06.2008 18:14 44.544 pngfilt.dll
23.06.2008 18:14 233.472 webcheck.dll
23.06.2008 18:14 105.984 url.dll
23.06.2008 18:14 193.024 msrating.dll
23.06.2008 18:14 1.159.680 urlmon.dll
23.06.2008 18:14 671.232 mstime.dll
23.06.2008 18:14 477.696 mshtmled.dll
23.06.2008 18:14 52.224 msfeedsbs.dll
23.06.2008 18:14 267.776 iertutil.dll
23.06.2008 18:14 459.264 msfeeds.dll
23.06.2008 18:14 27.648 jsproxy.dll
23.06.2008 18:14 1.831.424 inetcpl.cpl
23.06.2008 18:14 6.066.176 ieframe.dll
23.06.2008 18:14 44.544 iernonce.dll
23.06.2008 18:14 214.528 dxtrans.dll
23.06.2008 18:14 384.512 iedkcs32.dll
23.06.2008 18:14 230.400 ieaksie.dll
23.06.2008 18:14 383.488 ieapfltr.dll
23.06.2008 18:14 63.488 icardie.dll
23.06.2008 18:14 133.120 extmgr.dll
23.06.2008 18:14 347.136 dxtmsft.dll
23.06.2008 18:14 153.088 ieakeng.dll
23.06.2008 18:14 124.928 advpack.dll
23.06.2008 11:20 13.824 ieudinit.exe
23.06.2008 11:20 70.656 ie4uinit.exe
21.06.2008 07:23 161.792 ieakui.dll
20.06.2008 19:39 148.992 dnsapi.dll
20.06.2008 19:39 247.296 mswsock.dll

So das war denk ich alles! Ich hoffe iIhr könnt mir weiterhelfen!
Schon mal vielen Dank im Voraus!

Leom

Anhang: combofix_log.txt
Dieser Beitrag wurde am 11.09.2008 um 22:32 Uhr von Leom editiert.
Seitenanfang Seitenende
11.09.2008, 22:47
Provisitor
Member

Beiträge: 325
#2 Hallo Leom !
Hast Du das Gefundene auch mit Malwarebytes gelöscht?
No action taken -->lässt nicht darauf schließen.
Schau im Malwarebytes unter "Scanberichte" nach dem letzten Log ob da überall Quarantined and deleted successfully dahinter steht !!!
...hat ja ganz schön "reingequalmt" bei Dir,- wenn man sich den Combofix-Log anschaut...!
Dieser Beitrag wurde am 11.09.2008 um 23:07 Uhr von Provisitor editiert.
Seitenanfang Seitenende
12.09.2008, 09:24
Leom
...neu hier

Themenstarter

Beiträge: 3
#3 Hallo Provisitor!

Danke für deine schnelle Antwort!

Ich denke ich habe den Malware Bericht vor dem Löschen hier reingestellt...hoffe ich zumindest!

Die beschriebenen Fehler sind nicht mehr da und mein Rechner läuft so gut wie schon lange nicht mehr!
Wenn Malware jetzt nichts mehr findet bin ich fein raus oder?
Entschuldigt die vielleicht etwas dummen Fragen aber ich blick noch nicht ganz durch was da passiert ist und welche Aufgaben die Programme die ich zum beheben hab laufen lassen bewirken!

Auf jeden Fall schon einmal vielen Dank an die Betreiber des Forums!
Werde es auf jeden Fall weiter empfehlen!
Seitenanfang Seitenende
12.09.2008, 14:40
Swisstreasure
Moderator

Beiträge: 5694
#4 Hallo Leom

Ich kann nichts mehr erkennen, mach jedoch noch einen Scan mit Dr.Web und berichte:
http://board.protecus.de/t29351.htm

Gruss Swiss
Seitenanfang Seitenende
12.09.2008, 20:46
Leom
...neu hier

Themenstarter

Beiträge: 3
#5 Hier der Dr. Web-Bericht:
(eine datei habe ich manuell gelöscht.)


ComboFix.exe\327882R2FWJFW\psexec.cfexe;
C:\Dokumente und Einstellungen\ahududu\Desktop\protectus\ComboFix.exe;Program.PsExec.171;;ComboFix.exe;
C:\Dokumente und Einstellungen\ahududu\Desktop\protectus;Archiv enthält infizierte Objekte;Verschoben.;data007\data001;
daemon4123-lite.exe;
A0072372.EXE;C:\System Volume Information\_restore{98E8D00F-5250-42F8-8F04-C6538302ED95}\RP451;Program.PsExec.170;;
A0072810.exe\327882R2FWJFW\psexec.cfexe;C:\System Volume Information\_restore{98E8D00F-5250-42F8-8F04-C6538302ED95}\RP455\A0072810.exe;Program.PsExec.171;;
A0072810.exe;C:\System Volume Information\_restore{98E8D00F-5250-42F8-8F04-C6538302ED95}\RP455;Archiv enthält infizierte Objekte;Verschoben.;
A0072902.exe\327882R2FWJFW\psexec.cfexe;C:\System Volume Information\_restore{98E8D00F-5250-42F8-8F04-C6538302ED95}\RP455\A0072902.exe;Program.PsExec.171;;
A0072902.exe;C:\System Volume Information\_restore{98E8D00F-5250-42F8-8F04-C6538302ED95}\RP455;Archiv enthält infizierte Objekte;Verschoben.;
b4fm.dll;C:\WINDOWS\system32;Trojan.Click.20226;Gelöscht.;

Bitte sagt mir das der Spuk damit ein Ende hat!

Nochmals danke!

Leom
___________________________________________________________________

Hallo nochmal!

ich habe jetzt Dr. Web aktualisiert und erneut laufen lassen.
Folgender Bericht kam:

A0072903.dll;C:\System Volume Information\_restore{98E8D00F-5250-42F8-8F04-C6538302ED95}\RP455;Trojan.Click.20226;Gelöscht.;


Während Dr.Web lief hat Antivir folgende (2) Viren gelöscht:

In der Datei 'C:\System Volume Information\_restore{98E8D00F-5250-42F8-8F04-C6538302ED95}\RP450\A0072342.dll'
wurde ein Virus oder unerwünschtes Programm 'BDS/Agent.rfw' [backdoor] gefunden.
Ausgeführte Aktion: Datei löschen

In der Datei 'C:\System Volume Information\_restore{98E8D00F-5250-42F8-8F04-C6538302ED95}\RP450\A0072341.dll'
wurde ein Virus oder unerwünschtes Programm 'BDS/Agent.rfv' [backdoor] gefunden.
Ausgeführte Aktion: Datei löschen

Muß ich damit rechnen dass sich da was immer wieder selbst installiert oder sind die jetzt endgültig vernichtet?

Leom
Dieser Beitrag wurde am 12.09.2008 um 22:02 Uhr von Leom editiert.
Seitenanfang Seitenende
13.09.2008, 06:19
Swisstreasure
Moderator

Beiträge: 5694
#6 Leom

Dies sind lediglich noch Einträge in der Systemwiederherstellung.

>>
Combofix entfernen:
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"
(oder, wenn es nicht funktioniert: C:\QooBox löschen)

>>
Systemwiederherstellung deaktivieren (XP):
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
dann das Häkchen wieder rausnehmen. (also wieder aktivieren)

Gruss Swiss
Seitenanfang Seitenende
16.09.2008, 18:13
Jensebanger
...neu hier

Beiträge: 7
#7 hey ich denke ich hab das problem auch kann mir wer vllt den download link für malewarebytes geben? wenn ich es bei google eingebe gehts natürlich nich (falsch verlinkt) und bei altavista kommt nur ein suchergebnis -.-' sorry aber bin auch nicht der klügste -.-' eine frage zum poster: kann es sein das sich bei dir auf dem desktop manchmal so ein casino icon erstellt hat?
Seitenanfang Seitenende
19.09.2008, 14:19
Yakuza112
Member

Beiträge: 66
#8 http://www.malwarebytes.org/
Seitenanfang Seitenende
19.09.2008, 15:10
Swisstreasure
Moderator

Beiträge: 5694
#9 Jensebanger

Wieso machst du nicht hier weiter und postest das Combofix-Log?
http://board.protecus.de/t34850.htm

Gruss Swiss
Seitenanfang Seitenende
07.10.2008, 23:50
kathynew
Member

Beiträge: 11
#10 Hallo!
Ich scheine leider das gleiche Problem wie Leom zu haben. Werde bei Google (und Yahoo) auch auf falsche Seiten weitergeleitet. Außerdem werden einige Seiten (z.B. von Antivirussoftware-Anbietern) geblockt.

Den CCleaner hab ich wie beschrieben laufen lassen.
Danach hab ich Malwarebytes laufen lassen:

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1240
Windows 5.1.2600 Service Pack 3

07.10.2008 23:29:49
mbam-log-2008-10-07 (23-29-49).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 153117
Laufzeit: 38 minute(s), 21 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\ -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\ -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\ (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\drivers\ (Trojan.Agent) -> Delete on reboot.





Nun weiß ich nicht, ob ich die 2 letzten infizierten Dateien auch einfachso löschen lassen sollte.

Hoffe, jemand kann mir damit weiterhelfen...
Danke schonmal!
Dieser Beitrag wurde am 08.10.2008 um 00:04 Uhr von kathynew editiert.
Seitenanfang Seitenende
08.10.2008, 00:04
Sabina
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#11 Hallo kathynew

Delete on reboot - bedeutet, dass nach Neustart der Virus beseitigt wird.
Wende dennoch bitte combofix an + poste hier den Report (Warnmeldung bitte wegklicken)
http://virus-protect.org/artikel/tools/combofix.html

Danach wende an RSIT + poste hier die 2 logs, die erstellt werden
http://virus-protect.org/artikel/tools/random.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
08.10.2008, 02:12
kathynew
Member

Beiträge: 11
#12 Ich habe jetzt Malwarebytes noch 2mal laufen lassen und festgestellt, dass immer wieder die gleichen 6 "Dateien" gefunden werden. Zwischendurch funktionieren Google und die zuvor geblockten Seiten wieder. Combofix konnte ich deshalb mittlerweile auch runterladen.

Hijackthis hab ich jetzt auch mal laufen lassen:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:04:25, on 08.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programme\WEB.DE\WEB.DE SmartSurfer\SmurfService.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programme\AVG\AVG8\avgtoolbar.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programme\AVG\AVG8\avgtoolbar.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_01\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O8 - Extra context menu item: &Clean Traces - C:\Programme\DAP\Privacy Package\dapcleanerie.htm
O8 - Extra context menu item: &Download with &DAP - C:\Programme\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\Programme\DAP\dapextie2.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {54BE6B6F-3056-470B-97E1-BB92E051B6C4} (DeviceEnum Class) - http://h20264.www2.hp.com/ediags/dd/install/HPDriverDiagnosticsxp2k.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1200921099553
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartSurfer Manager (SmartSurferManager) - United Internet AG - C:\Programme\WEB.DE\WEB.DE SmartSurfer\SmurfService.exe

--
End of file - 7873 bytes






Jetzt werde ich versuchen, Combofix und das andere Programm laufen zu lassen.

-------------------------------------------------

Die Programme sind durchgelaufen (s. Anhang) Malwarebytes hat jetzt auch nichts mehr gefunden. Aber das AVG-Antivirusprogramm hat sich jetzt mal zu Wort gemeldet, dabei hatte es vorher nichts gefunden. Lass grad noch ne Systemprüfung durchführen und versuch das dann hier zu posten.
Hat jemand von euch eventuell ne Ahnung, was für einen Schädlling ich mir da eingefangen haben?
Wie schätzt ihr die Wahrscheinlichkeit ein, dass sich das auf meinen USB-Stick übertragen hat? Kann ich das irgendwie überprüfen?!


-------------------------------------------------
AVG hat folgendes gefunden (leider weiß ich nicht, wie ich alles als Textdatei exportieren kann):
Trojaner: Agent.ADKA
Trojaner: Dropper.Bravix.A
Trojaner: Generic11.AMLE
Trojaner: BackDoor.Agent.VCA
Trojaner: Agent.ADSH
Trojaner: Generic11.ASAG
Trojaner: Agent.ADRR

Alle in: C:/System Volume Information/_restore{250B27CE-5FD8-4052-9062-8FB0DED8A590}/RP139/A00498xx.yyy (bei xx handelt es sich jeweils um die Zahlen 41 bis 48; yyy steht bei den ersten 6 für „dll“, beim 7. war es „sys“)

Anhang: logs combo RSIT.txt
Dieser Beitrag wurde am 08.10.2008 um 09:59 Uhr von kathynew editiert.
Seitenanfang Seitenende
08.10.2008, 10:14
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#13 Spybot S&D TeaTimer
Bitte den TeaTimer von Spybot S & D deaktivieren:
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe abstellen!
Starte dazu Spybot S&D,
klicke auf "Advanced mode" >"JA">"Tools">Menu> klicke auf "Resident" >
das Häkchen entfernen aus der "Resident TeaTimer" (Schutz aller
Systemeinstellungen) > "exit".
(der TeaTimer be- bzw. verhindert alle weiteren Reinigungmaßnahmen!)

Download ResetTeaTimer zum Desktop
Doppelklik ResetTeaTimer
Wenn dein Rechner wieder sauber ist kannst du TeaTimer wieder einschalten!
Note:ResetTeaTimer nicht fuer Vista

CombiFix entfernen
Start > Ausführen>Kopiere rein ComboFix /U OK

Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

Zitat

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Download SUPERAntiSpyware
Klicke “yes” wenn nach Updates gesucht werden muss
Gib deine E-mail addresse ein wenn danach gefragt wird
Waehle “yes“ ob du gewarnt werden moechtest wenn die Startseite sich aendert
Klicke "scan your computer"
Selektiere die Partionen die gescannt werden sollen
Haacke auf der rechte Seite Perform complete scan an und klicke next
Der Rechner wird jetzt gescannt
Wenn "harmfull items" gefunden werden, alle anhaaken und klicke OK um weiter zugehen
Wenn der scan beendet ist klicke OK um die gefundene infektionen via Quarantäne zu entfernen
Klicke scanningpreferences/control centre um zurückzukehren zum Startmenu

Klicke reiter statistics/logs und dann view log.
Kopiere dessen Inhalt hier im Thread
Klick „next“ und „ja“ um dein Rechner neu zu starten

SDFix für Windows 2000 und Windows XP
Download SDFix zum Desktop

Starte dein Recher in
abgesicherten Modus

SDFix.zip entpacken
unter C:\ findet man nun den SDFix-Ordner

Doppelklick RunThis.bat
Schreibe: Y folge allen Anweisungen
Dann wird der Rechner neustarten
SDFix entfernt jetzt die gefundene Objekte
Kopiere den Inhalt des Berichts SophosReport.txt in diesen Thread
Note:Wenn die Immunisierfunktion von Spybot s&d benutzt wird,nachher wieder installieren,weil SDFix sie entfernt
__________
MfG Argus
Seitenanfang Seitenende
08.10.2008, 11:31
kathynew
Member

Beiträge: 11
#14 SUPERAntiSpyware hat vollgendes gefunden und in Quarantäne gesteckt:

Adware.Tracking Cookie
C:/Dokumente und Einstellungen/user/Cookies/user@avgtechnologies.112.2o7[1].txt
C:/Dokumente und Einstellungen/user/Cookies/user@avgtechnologies.112.2o7[2].txt
C:/Dokumente und Einstellungen/user/Cookies/user@avgtechnologies.112.2o7[3].txt
C:/Dokumente und Einstellungen/user/Cookies/user@imrworldwide[2].txt
C:/Dokumente und Einstellungen/user/Cookies/user@imrworldwide[3].txt
C:/Dokumente und Einstellungen/user/Cookies/user@imrworldwide[4].txt




---------------------------------------------------------
SDFix hab ich jetzt auch im Abgesicherten Modus laufen lassen (s. Anhang)

Anhang: Report.txt
Dieser Beitrag wurde am 08.10.2008 um 12:10 Uhr von kathynew editiert.
Seitenanfang Seitenende
08.10.2008, 12:17
Argus
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#15 Entferne von C:\SDFix

SUPERAntiSpyware darfst du behalten wenn du willst ;)

Und wie sieht es aus? noch Probleme?
__________
MfG Argus
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 12