TR/Crypt.FKM.Gen sdra64.exe

#1 Hallo mein AntiVir hat zwei Trojaner gefunden. Einmal die Datei sdra64.exe und einmal twex.exe . Beide befanden sich im System32-Verzeichnis.
Habe die Dateien von spybot (/oder von Avenger) löschen lassen.

Meine Frage: wie bekomme ich sie korrekt gelöscht? (in der Reg ist ja noch ein Eintrag mit sdra64.exe vorhanden.)
Danke für Eure Hilfe.

Hier der Hijackthis-Log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:55:37, on 14.05.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20733)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\LEXBCES.EXE
C:\WINXP\system32\spoolsv.exe
C:\WINXP\system32\LEXPPS.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINXP\system32\slserv.exe
C:\WINXP\system32\svchost.exe
C:\Programme\Steganos Internet Anonym VPN\SVPNStarter.exe
C:\WINXP\System32\TUProgSt.exe
C:\WINXP\system32\VTTimer.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
F2 - REG:system.ini: UserInit=C:\WINXP\system32\userinit.exe,C:\WINXP\system32\sdra64.exe,
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [CM-SmWizard] C:\WINXP\System\SmWizard.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [RayV] C:\Programme\RayV\RayV\RayV.exe /background
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} (CRLDownloadWrapper Class) - http://drmlicense.one.microsoft.com/crlupdate/en/crlocx.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{DE3E49EF-037B-4D03-A867-2A03364CF102}: NameServer = 212.19.48.14
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINXP\system32\LEXBCES.EXE
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINXP\SYSTEM32\slserv.exe
O23 - Service: Steganos VPN Starter Service (SVPNStarter) - Unknown owner - C:\Programme\Steganos Internet Anonym VPN\SVPNStarter.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINXP\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software GmbH - C:\WINXP\System32\TUProgSt.exe

--
End of file - 6850 bytes

#2 >>
Lösche die temp Dateien mit CCleaner

>>
Scanne mit Malwarebytes, lass das gefundene löschen und poste das Log:
(Vor der Anwendung Update nicht vergessen)
http://virus-protect.org/artikel/tools/malwarebytes.html

>>
Stelle Dein Avira Antivir so ein wie hier beschrieben. Zusätzlich Rootkitsuche anwählen. UPDATE dein Antivir und scanne all deine Festplatten, funde in Quarantäne verschieben lassen. Poste das Log.
(Nach dem scanen, Einstellungen wieder zurücksetzen)
http://board.protecus.de/t23979.htm

>>
Zudem Update Dein Java:
http://board.protecus.de/t32385-1.htm

Gruss Swiss

#3 Hier schonmal der Log von Malwarebytes:

Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2132
Windows 5.1.2600 Service Pack 2

15.05.2009 00:36:22
mbam-log-2009-05-15 (00-36-22).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 148486
Laufzeit: 1 hour(s), 0 minute(s), 57 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 2
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINXP\system32\userinit.exe,C:\WINXP\system32\sdra64.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\WINXP\system32\twain32 (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINXP\system32\lowsec (Stolen.Data) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Downloads\Nero 8\key\Keygen.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINXP\system32\lowsec\local.ds (Stolen.Data) -> Quarantined and deleted successfully.
C:\WINXP\system32\lowsec\user.ds (Stolen.Data) -> Quarantined and deleted successfully.
C:\WINXP\system32\lowsec\user.ds.lll (Stolen.Data) -> Quarantined and deleted successfully.


Antivir führe ich morgen aus (dauert ziemlich lange).
MfG

#4 Eine Frage zum Anfang: Machst Du Onlinebanking oder hast du heikle Daten (geschäftlich od. Privat) auf deinem System?

Zitat

(Backdoor.Bot)
(Stolen.Data)

Zudem:

Zitat

C:\Downloads\Nero 8\key\Keygen.exe

Da brauch ich nichts zu sagen.

Gruss swiss

#5 Hallo, Nein ich mache kein Onlinebanking. Habe meine Passwörter alle schon geändert...

#6 Dann poste doch mal das Log von Avira.

Gruss Swiss

#7 gerade fertig geworden:

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Freitag, 15. Mai 2009 14:41

Es wird nach 1395768 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername:
Computername:

Versionsinformationen:
BUILD.DAT : 8.2.0.347 16934 Bytes 16.03.2009 14:45:00
AVSCAN.EXE : 8.1.4.10 315649 Bytes 18.11.2008 08:21:23
AVSCAN.DLL : 8.1.4.0 48897 Bytes 09.05.2008 11:27:06
LUKE.DLL : 8.1.4.5 164097 Bytes 12.06.2008 12:44:16
LUKERES.DLL : 8.1.4.0 12545 Bytes 09.05.2008 11:40:42
ANTIVIR0.VDF : 7.1.0.0 15603712 Bytes 27.10.2008 11:30:36
ANTIVIR1.VDF : 7.1.2.12 3336192 Bytes 11.02.2009 11:20:10
ANTIVIR2.VDF : 7.1.3.185 2010112 Bytes 12.05.2009 18:31:13
ANTIVIR3.VDF : 7.1.3.212 114688 Bytes 15.05.2009 12:20:51
Engineversion : 8.2.0.166
AEVDF.DLL : 8.1.1.1 106868 Bytes 04.05.2009 19:43:44
AESCRIPT.DLL : 8.1.1.81 385401 Bytes 09.05.2009 12:24:14
AESCN.DLL : 8.1.1.10 127348 Bytes 07.04.2009 10:23:51
AERDL.DLL : 8.1.1.3 438645 Bytes 04.11.2008 13:58:38
AEPACK.DLL : 8.1.3.16 397686 Bytes 09.05.2009 12:24:14
AEOFFICE.DLL : 8.1.0.36 196987 Bytes 26.02.2009 21:23:30
AEHEUR.DLL : 8.1.0.128 1757559 Bytes 09.05.2009 12:24:13
AEHELP.DLL : 8.1.2.2 119158 Bytes 26.02.2009 21:23:22
AEGEN.DLL : 8.1.1.42 348531 Bytes 09.05.2009 12:24:12
AEEMU.DLL : 8.1.0.9 393588 Bytes 14.10.2008 10:05:56
AECORE.DLL : 8.1.6.9 176500 Bytes 15.04.2009 12:28:42
AEBB.DLL : 8.1.0.3 53618 Bytes 14.10.2008 10:05:56
AVWINLL.DLL : 1.0.0.12 15105 Bytes 09.07.2008 08:40:02
AVPREF.DLL : 8.0.2.0 38657 Bytes 16.05.2008 09:27:58
AVREP.DLL : 8.0.0.3 155688 Bytes 20.04.2009 19:28:45
AVREG.DLL : 8.0.0.1 33537 Bytes 09.05.2008 11:26:37
AVARKT.DLL : 1.0.0.23 307457 Bytes 12.02.2008 08:29:19
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 12.06.2008 12:27:46
SQLITE3.DLL : 3.3.17.1 339968 Bytes 22.01.2008 17:28:02
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 12.06.2008 12:49:36
NETNT.DLL : 8.0.0.1 7937 Bytes 25.01.2008 12:05:07
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 12.06.2008 13:45:01
RCTEXT.DLL : 8.0.52.0 86273 Bytes 27.06.2008 13:32:05

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Manuelle Auswahl
Konfigurationsdatei..............: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira\AntiVir PersonalEdition Classic\PROFILES\folder.avp
Protokollierung..................: niedrig
Primäre Aktion...................: quarantäne
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, J:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Alle Dateien
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: aus
Archiv Smart Extensions..........: ein
Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox,
Makrovirenheuristik..............: ein
Dateiheuristik...................: hoch
Abweichende Gefahrenkategorien...: +GAME,+JOKE,+PCK,+SPR,

Beginn des Suchlaufs: Freitag, 15. Mai 2009 14:41

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IEXPLORE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wscntfy.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'TUProgSt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'SVPNStarter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'slserv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'NBService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'VTTimer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LEXPPS.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'LEXBCES.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '30' Prozesse mit '30' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD5
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'J:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '52' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINXP\system32\drivers\sptd.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
Beginne mit der Suche in 'J:\' <Extern2>
J:\Music\Farin Urlaub\Campus Invasion\Fu_MTV.part02.rar
[0] Archivtyp: RAR
--> Live In Osnabrﾁck 03.07.2005\04 - Ansage.mp3
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
J:\Music\Farin Urlaub\Campus Invasion\Fu_MTV.part06.rar
[0] Archivtyp: RAR
--> Live In Osnabrﾁck 03.07.2005\14 - Sonne.mp3
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.


Ende des Suchlaufs: Freitag, 15. Mai 2009 16:48
Benötigte Zeit: 2:07:28 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

9188 Verzeichnisse wurden überprüft
849835 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
849833 Dateien ohne Befall
8935 Archive wurden durchsucht
8 Warnungen
0 Hinweise

so wie es scheint sind die Trojaner/Viren weg. wie sicher ist es ungefähr, dass das system jetzt sauber ist? THX!

#8 >>
Mach noch einen Kontrollscan mit eset + poste den report
http://virus-protect.org/artikel/tools/eset-nod.html

>>
Bezüglich Deine Frage:
Dein System wurde vermutlich kompromittiert durch Backdoor und einen Rootkit, inwiefern sich eine Drittperson schon eingemischt hat kann man nicht sagen:
http://virus-protect.org/kompsystem.html

Gruss Swiss

#9

Zitat

Swisstreasure postete
>>
Mach noch einen Kontrollscan mit eset + poste den report
http://virus-protect.org/artikel/tools/eset-nod.html

Kann leider den Scan nicht ausführen, es gibt da Probleme mit ActiveX (habe alle Optionen für ActiveX aktiviert).


Aber diese Drittperson kann doch nicht mehr Daten/Passwörter von mir auspionieren oder?
wäre eine Neuinstallation also sinnvoll?
Vielen Dank.

#10 Also hier spreizen sich die Meinungen extrem. Wenn du den PC wirklich für keine heiklen daten brauchst, musst du nicht formatieren. Aber das sicherste ist es trotzdem bei der Verseuchung die du hattest. Wenn du nicht formatierst dann wende mal Blacklight an und poste das Ergebnis:
http://www.virus-protect.org/artikel/tools/blacklight.html

Gruss Siwss

#11 hier das Ergebnis von Blacklight:

05/19/09 09:05:27 [Info]: BlackLight Engine 2.2.1092 initialized
05/19/09 09:05:27 [Info]: OS: 5.1 build 2600 (Service Pack 2)
05/19/09 09:05:28 [Note]: 7019 4
05/19/09 09:05:28 [Note]: 7005 0
05/19/09 09:05:32 [Note]: 7006 0
05/19/09 09:05:32 [Note]: 7011 1776
05/19/09 09:05:32 [Note]: 7035 0
05/19/09 09:05:32 [Note]: 7026 0
05/19/09 09:05:33 [Note]: 7026 0
05/19/09 09:05:35 [Note]: FSRAW library version 1.7.1024
05/19/09 09:08:05 [Note]: 2000 1012
05/19/09 14:17:15 [Note]: 7007 0

"No hidden items found."

PS: was hat es zu bedeuten, dass meine Windows-Firewall immer wieder im Sicherheitscenter als deaktiviert angezeigt wird, obwohl ich sie bei den Firewall-Einstellungen aktiviert habe...

#12 >>
Wende Combofix an und poste das Log:
http://www.virus-protect.org/artikel/tools/combofix.html

Gruss Swiss

#13 ComboFix 09-05-19.04 - * 19.05.2009 22:16.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.479.232 [GMT 2:00]
ausgeführt von:: c:\dokumente und einstellungen\*\Desktop\ComboFix.exe
AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

((((((((((((((((((((((( Dateien erstellt von 2009-04-19 bis 2009-05-19 ))))))))))))))))))))))))))))))
.

2009-05-15 15:53 . 2009-05-15 15:53 -------- d-----w C:\Medion
2009-05-15 15:41 . 2009-05-15 15:41 -------- d-----w c:\programme\Lavalys
2009-05-15 15:16 . 2000-10-25 12:27 3000 ----a-r c:\winxp\system32\SetupNT.sys
2009-05-14 21:24 . 2009-05-14 21:24 -------- d-----w c:\dokumente und einstellungen\*\Anwendungsdaten\Malwarebytes
2009-05-14 21:24 . 2009-04-06 13:32 15504 ----a-w c:\winxp\system32\drivers\mbam.sys
2009-05-14 21:24 . 2009-04-06 13:32 38496 ----a-w c:\winxp\system32\drivers\mbamswissarmy.sys
2009-05-14 21:24 . 2009-05-14 21:24 -------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-05-14 21:24 . 2009-05-14 21:24 -------- d-----w c:\programme\Malwarebytes' Anti-Malware
2009-05-14 21:23 . 2009-05-14 21:23 -------- d-----w c:\programme\CCleaner
2009-05-14 20:55 . 2009-05-14 20:55 -------- d-----w c:\programme\Trend Micro

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-19 14:23 . 2009-05-15 15:12 5 ----a-w c:\winxp\system32\BSETUP.TMP
2009-05-15 16:07 . 2008-04-14 10:44 -------- d--h--w c:\programme\InstallShield Installation Information
2009-05-15 12:31 . 2008-04-13 22:38 -------- d-----w c:\programme\C-Media 3D Audio
2009-05-14 16:57 . 2009-02-01 19:17 -------- d-----w c:\programme\Spybot - Search & Destroy
2009-05-13 14:34 . 2008-04-17 07:45 -------- d-----w c:\programme\Soulseek
2009-05-13 01:59 . 2008-04-14 00:00 98304 ----a-w c:\winxp\DUMP4eac.tmp
2009-04-24 12:19 . 2008-04-14 00:00 98304 ----a-w c:\winxp\DUMP4e3f.tmp
2009-04-19 20:12 . 2009-04-19 20:12 -------- d-----w c:\programme\RayV
2009-04-01 14:48 . 2008-04-13 22:45 44608 ----a-w c:\dokumente und einstellungen\*\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-04-01 14:44 . 2009-04-01 14:44 -------- d-----w c:\programme\Microsoft.NET
2009-03-31 23:05 . 2009-03-31 23:05 -------- d-----w c:\programme\FLV Player
2009-03-31 12:24 . 2001-08-23 08:00 78360 ----a-w c:\winxp\system32\perfc007.dat
2009-03-31 12:24 . 2001-08-23 08:00 442770 ----a-w c:\winxp\system32\perfh007.dat
2009-03-17 16:07 . 2009-03-17 16:07 603904 ----a-w c:\winxp\system32\TUProgSt.exe
2009-03-17 16:07 . 2009-03-17 16:07 362752 ----a-w c:\winxp\system32\TuneUpDefragService.exe
.

------- Sigcheck -------

[-] 2007-10-09 12:20 1548288 6D60483EBCF29203C9B3B453471D3706 c:\winxp\system32\sfcfiles.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\winxp\system32\ctfmon.exe" [2004-08-03 15360]
"DAEMON Tools Lite"="c:\programme\DAEMON Tools Lite\daemon.exe" [2008-08-08 490952]
"RayV"="c:\programme\RayV\RayV\RayV.exe" [2009-03-22 2417960]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CM-SmWizard"="c:\winxp\System\SmWizard.exe" [2003-08-29 1454080]
"Lexmark X1100 Series"="c:\programme\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 57344]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-06-12 266497]
"VTTimer"="VTTimer.exe" - c:\winxp\system32\VTTimer.exe [2004-09-01 53248]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"nltide_2"="shell32" [X]
"nltide_3"="advpack.dll" - c:\winxp\system32\advpack.dll [2008-02-12 124928]

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32
"wave"= serwvdrv.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Veoh"="c:\programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
"PhonostarTimer"=c:\programme\phonostar\ps_timer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
"NBKeyScan"="c:\programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_05\bin\jusched.exe"
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"NeroFilterCheck"=c:\programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\Opera\\Opera.exe"=
"c:\\Programme\\Real\\realplay.exe"=
"c:\\Programme\\Soulseek\\slsk.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\Orbitdownloader\\orbitdm.exe"=
"c:\\Programme\\Orbitdownloader\\orbitnet.exe"=
"c:\\Programme\\RayV\\RayV\\RayV.dll"=
"c:\\Programme\\RayV\\RayV\\RayV.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5002:TCP"= 5002:TCP:Zattoo
"8296:TCP"= 8296:TCP:Zattoo
"5003:UDP"= 5003:UDP:Zattoo

S2 SVPNStarter;Steganos VPN Starter Service;c:\programme\Steganos Internet Anonym VPN\SVPNStarter.exe [16.02.2007 15:35 19968]
S2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\winxp\system32\TUProgSt.exe [17.03.2009 18:07 603904]
S3 tap0801;TAP-Win32 Adapter V8;c:\winxp\system32\drivers\tap0801.sys [15.02.2007 19:48 26624]
S3 tap0901;TAP-Win32 Adapter V9;c:\winxp\system32\drivers\tap0901.sys [24.04.2008 14:29 25088]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
vvdsvc REG_MULTI_SZ vvdsvc

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Inhalt des "geplante Tasks" Ordners

2009-05-19 c:\winxp\Tasks\1-Klick-Wartung.job
- c:\programme\TuneUp Utilities 2009\OneClickStarter.exe [2008-11-07 10:49]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl


.
------- Zusätzlicher Suchlauf -------
.
uInternet Settings,ProxyOverride = local
IE: &Download by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/201
IE: &Grab video by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/204
IE: Do&wnload selected by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/203
IE: Down&load all by Orbit - c:\programme\Orbitdownloader\orbitmxt.dll/202
TCP: {DE3E49EF-037B-4D03-A867-2A03364CF102} = 212.19.48.14
FF - ProfilePath - c:\dokumente und einstellungen\*\Anwendungsdaten\Mozilla\Firefox\Profiles\441n1y9g.default\
FF - plugin: c:\dokumente und einstellungen\*\Anwendungsdaten\Mozilla\Firefox\Profiles\441n1y9g.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\programme\Mozilla Firefox\plugins\npstrlnk.dll
FF - plugin: c:\programme\Opera952\program\plugins\npdivx32.dll
FF - plugin: c:\programme\Opera952\program\plugins\npdsplay.dll
FF - plugin: c:\programme\Opera952\program\plugins\NPOFFICE.DLL
FF - plugin: c:\programme\Opera952\program\plugins\NPSWF32.dll
FF - plugin: c:\programme\Opera952\program\plugins\npwmsdrm.dll
FF - plugin: c:\programme\RayV\RayV\plugins\nprayvplugin.dll
FF - plugin: c:\programme\Real\Netscape6\nppl3260.dll
FF - plugin: c:\programme\Real\Netscape6\nprjplug.dll
FF - plugin: c:\programme\Real\Netscape6\nprpjplug.dll
FF - plugin: c:\programme\Veetle\plugins\npVeetle.dll
FF - plugin: c:\programme\Veetle\VLC\npvlc.dll
FF - plugin: c:\programme\Veoh Networks\Veoh\Plugins\noreg\NPVeohVersion.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-19 22:18
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'explorer.exe'(2672)
c:\winxp\system32\wpdshserviceobj.dll
c:\winxp\system32\portabledevicetypes.dll
c:\winxp\system32\portabledeviceapi.dll
.
Zeit der Fertigstellung: 2009-05-19 22:19
ComboFix-quarantined-files.txt 2009-05-19 20:19

Vor Suchlauf: 22 Verzeichnis(se), 12.921.470.976 Bytes frei
Nach Suchlauf: 21 Verzeichnis(se), 12.913.385.472 Bytes frei

151



Bemerkung: ComboFix hat ein Internetexplorer-Symbol auf dem Desktop abgelegt. Ist das erwünscht bzw normal?
THX!

#14

Zitat

Bemerkung: ComboFix hat ein Internetexplorer-Symbol auf dem Desktop abgelegt. Ist das erwünscht bzw normal?

Wie meinst Du das? Eine blaues E??

>>
Combofix entfernen:
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"
(oder, wenn es nicht funktioniert: C:\QooBox löschen)

>>
Gehe in die Registry
Start - Ausführen - regedit

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center
auf der rechten Seite der Registry verändere folgende Werte
von:
* UpdatesDisableNotify = "dword:00000001"
zu:
* UpdatesDisableNotify = "dword:00000000"


[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
von
"EnableFirewall"=dword:000000000"
zu
"EnableFirewall"=dword:000000001

>>
Firewall Problem noch vorhanden?

>>
Hast du das JAVA Update wirklich gemacht??

Gruss Swiss

#15

Zitat

Wie meinst Du das? Eine blaues E??

Ja. Wenn ich rechte Maustaste -> Eigenschaften dann öffnet sich das Internetoptionen-Menü (Doppelklick wollt ich net machen)

Zitat

>>
Firewall Problem noch vorhanden?

Ja. direkt nach dem Neustart wird die firewall als aktiviert erkannt. aber wenig später, 30 Sekunden bis 1 Min.. erscheint wieder die Meldung.

Zitat

>>
Hast du das JAVA Update wirklich gemacht??

Oh sorry, wohl vergessen.

THX!