Die Geister die ich rief, werd ich nun nicht los ...

[Hamburger Jung]

Moin,

ich habe mir gestern einen EM2008-Planer für das Handy geladen, dadurch bekam ich einen W32/Sality Virus und einen Telnet-Trojaner drauf, Im Hintergrund lief notepad.exe 5 mal, die regedt32.exe auch 2mal, dazu öffnete sich alle 30 minuten auf einmal die regedt Es ging kein AntiVir mehr, "crc Summe falsch" blabla, wollte eig. format C machen, doch durch eine Systemwiederherstellung(XP32bit) klappte alles, Antivir ludt wieder und kein Trojaner im Hintergrund, dann schnell AntiVir durch laufen lassen, naja der Virus/Trojaner hat sich innerhalb von 5 Stunden 401mal vermehrt, naja alle in Quarantäne verschoben, nun lasse ich Ad-Aware2007 durchlaufen, also wie werd ich die Geister los ? Ich bitte um Hilfe, kriege schon Panik... > Backups sind gemacht <

Also insgesamt war jetzt, W32/Sality ; TR.Stealer.PW.1 ; TR PW Xpack Gen ; Keylogger drauf

Mein Aktueller HiJackthis ...

Logfile of HijackThis v1.99.1
Scan saved at 08:06:36, on 16.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
E:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
E:\Programme\ASUS\WLAN Card Utilities\Center.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe
E:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Saitek\SD6\Software\ProfilerU.exe
C:\Programme\Saitek\SD6\Software\SaiMfd.exe
E:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\oodag.exe
E:\Programme\Ray Adams\ATI Tray Tools\atitray.exe
C:\Programme\Cyberlink\Shared files\RichVideo.exe
E:\Programme\SpeedFan\speedfan.exe
C:\WINDOWS\system32\wscntfy.exe
c:\programme\avira\antivir personaledition classic\avcenter.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
E:\Programme\Mozilla Firefox\firefox.exe
E:\Programme\Mozilla Thunderbird\thunderbird.exe
E:\Programme\Lavasoft\Ad-Aware 2007\Ad-Aware2007.exe
C:\Dokumente und Einstellungen\Hamburger Jung\Desktop\Computer\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [Control Center] E:\Programme\ASUS\WLAN Card Utilities\Center.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [RemoteControl] E:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] E:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [ProfilerU] C:\Programme\Saitek\SD6\Software\ProfilerU.exe
O4 - HKLM\..\Run: [SaiMfd] C:\Programme\Saitek\SD6\Software\SaiMfd.exe
O4 - HKLM\..\Run: [CmUsbSound] RunDll32 cmcnfgu.cpl,CMICtrlWnd
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [AtiTrayTools] "E:\Programme\Ray Adams\ATI Tray Tools\atitray.exe"
O4 - HKCU\..\Run: [Steam] E:\Programme\Valve\Steam\\Steam.exe -silent
O4 - Startup: SpeedFan.lnk = E:\Programme\SpeedFan\speedfan.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - E:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASWLSVC - Unknown owner - C:\WINDOWS\system32\ASWLSVC.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NMSAccessU - Unknown owner - E:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

 

[opus808]

Format c:\

Bei so einem Befall wie du ihn schilderst ist das zu empfehlen.

 

[morgessa]

So siehts aus.

 

[JudgeFudge]

Mir ist noch nie so ein Schädlingsbefall durch eine einzige Datei untergekommen, das ist der Wahnsinn. Gibts schon eine konkrete Bezeichnung für das Ding oder meint ihr, das sich da eher ein Skriptkiddie an einem Baukasten vergriffen hat? Weil die eigentliche Anforderung an einen Trojaner, Daten unerkannt auszuspähen erfüllt so ein Moloch nicht mehr.

 

[schr3ck87]

Format c:\

Bei so einem Befall wie du ihn schilderst ist das zu empfehlen.

Seh ich auch so. Schon ein krasser Fall.

Da du Backups hast, sollte das ja kein Problem sein.

 

[Hamburger Jung]

Mir ist noch nie so ein Schädlingsbefall durch eine einzige Datei untergekommen, das ist der Wahnsinn. Gibts schon eine konkrete Bezeichnung für das Ding oder meint ihr, das sich da eher ein Skriptkiddie an einem Baukasten vergriffen hat? Weil die eigentliche Anforderung an einen Trojaner, Daten unerkannt auszuspähen erfüllt so ein Moloch nicht mehr.

AntiVirGuard lief so weit ich weiß, habe gestern die Dateien die ich alle runtergeladen habe an dem Tag 5 mal mit dem sichersten System geshreddert mit TuneUp, dann halt wiederherstellung von XP udn dann waren die Viren aus den Prozessen raus ! Nichts, gar nichts, kein einzige komische datei, dann, halt AntiVir laufen lassen, 401 Viren hat es alles entfernt, dann noch eben AdAware hat ein paar "dreckige Cookies" aus Firefox entfernt und nun lasse ich nochmal AntiVir und alles mögliche an Anti-Virenzeugs rüber laufen!

Ich frage mich wie der Trojaner sich verbreitet hat,die Datei lag einfach nur rum, ich habe sie nur aufs Handy kopiert sonst nichts, nicht geöffnet gar nichts ! Nunja, hoffe ich bin den scheiss los !