Computerhilfen.de Logo
Forum
Tipps
News

Infiziert?

Hallo,
ich habe durch meine eigene Dummheit(bzw. Ungeduldigkeit) eine wohl boshafte kleine .exe geöffnet. avg antivir und die zonealarm Firewall sind auch direkt angesprungen. Genützt hat die jedoch anscheinend wenig. Zuers war noch alles in Ordnung, nach einem Neustart allerdings fing der Ärger an: Zuerst kam es mir komisch vor, das auf einemal der win2k anmeldebildschirm erschien beim hochfahren, obwohl ich mich vorher nie anmelden musste(hab kein Passwort). Dann als ich mich (mit leerem Psw) anmeldete, bekam ich erstmal eine Meldung das die cmd.exe geschlossen werden musste, und danach, dass die ccc.exe und mom.exe nciht initialisiert werden konnten(Beides glaube ich komponenten des ati-treibers). Es schien so als ob vieeinstellungen zurückgesetzt wurden.(Musste zb jedesmal beim öffnen des firefox erneut einstellen das es der standard browser ist) und beim öffnen von daemontoolz und qip bekam ich fehlermeldungen(Bei qip:"Sorry, this is corrupted"). Nun sicherte ich alle meine Daten auf einer anderen Festplatte und formatierte meine interne Platte komplett und installeirte WinXp neu. Zuerst lief auch alles glatt jedoch nach dem neustart nachdem ich alles installeirt und wieder zurückkopiert hatte bekam ich wieder die selben symptome. Ein avg scan vor dem neustart hatte keinerlei Befunde, jetzt nach dem neustart hab allerdings 122 Funde gehabt und jetzt bekomme ich im Minutentakt neue Meldungen. Vor allem aus dem System32 Ordner und aus den archivierungen die das Service Pack angelegt hat. Allerdings auch aus anderen Orten.
Hier ein Screenshot aus den Ergebnissen, da ich irgendwie keine Logfile oder so finden kann: http://img525.imageshack.us/img525/4511/avgscreen.jpg

Ist es möglich das ich das Virus wieder auf meine festplatte "zurückkopeirt" habe als ich meine daten wieder zurückkopiehatte. GIbt es eine möglichkeit wie ich das ganze wieder loswerde ohne das ich meine Musik,Filme und Images verliere?


Hier noch eine HijackThis Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:58:49, on 15.03.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\PROGRA~1\AVG\AVG8\avgam.exe
C:\PROGRA~1\AVG\AVG8\avgemc.exe
C:\PROGRA~1\AVG\AVG8\avgrsx.exe
C:\PROGRA~1\AVG\AVG8\avgnsx.exe
C:\Programme\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\inf\rundll33.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ASUS\EPU-6 Engine\SixEngine.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\AVG\AVG8\avgtray.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AVG\AVG8\avgui.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\AVG\AVG8\avgcsrvx.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\System32\xRaidSetup.exe boot
O4 - HKLM\..\Run: [Six Engine] "C:\Programme\ASUS\EPU-6 Engine\SixEngine.exe" -r
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKLM\..\Policies\Explorer\Run: [xccinit] C:\WINDOWS\system32\inf\rundll33.exe C:\WINDOWS\xccdf16_090313a.dll xccd16
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll
O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 4775 bytes

Ps:Hab den CCCleaner und Malwarebytes antimalware durchlaufen gelassen.

Gruss
Simon

Edit:
MalwareBytes Log:
Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1852
Windows 5.1.2600 Service Pack 3

15.03.2009 19:14:28
mbam-log-2009-03-15 (19-14-28).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|)
Durchsuchte Objekte: 121093
Laufzeit: 31 minute(s), 53 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\xccinit (Spyware.OnlineGames) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\afisicx.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\comsa32.sys (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\inf\xccefb090313.scr (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sopidkc.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tpszxyd.sys (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\w.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\inf\rundll33.exe (Spyware.OnlineGames) -> Delete on reboot.


Antworten zu Infiziert?:

Hallo
Hier werde ich keine Reinigung mehr vornehmen

Es handelt sich hier um ein Backdoor wie man aus dem MBAM Log entnehmen kann

Du kannst deine Daten ruhig sichern nur darf keine ausführbare Datei dabei sein
Auch wurde der Ordner i386 infiziert wo sich alle Treiber befinden (glaub ich jz) also würde ich dein System komplett neu aufsetzten jedoch nicht im normalen Sinne

Ändere alle deine Passwörter von einem Sauberen Rechner
Falls du OnlineBanking durchgeführt hast bitte ich dich mit deiner Bank in Verbindung zu setzten

Hier findest du eine Anleitung zum Kompletten Formatieren -->von Affa

Viel erfolg  

Neu aufsetzen,sicher beim cackup mit rüber gekommen.


Beweiss:

O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

Und log

Support ENDE !!!!!!!!!!

Doppelpost

Würdest du auch in meheren Foren posten wenn du dafür bezahlen müsstest  >:(

Spiele nicht mit unserer Freizeit!!!!

Ok, werde dann das ganze noch einmal neuaufsetzten.
Bin grade dabei mit einer Knoppix live cd alle "ausführbaren" Dateien von meinen Sicherungsfestplatten zu löschen. Aber welche genau sind denn unbedenklich? Einfach nur alle .exe löschen?
was ist mit rar archiven?
oder .iso images in denen exe-dateien drauf sind?

Laut Wikipedia sind sogar .doc ausführbar..

Ich hoffe mir kann jemand das "ausführbar" etwas genauer definieren...


greetings



PS: Wieso Doppelpost?
Wenn man siene Katze verliert, klebt man ihr BIld doch auch an mehrere Laternenmasten oder?;)

Was wir dir bieten und was wir erwarten von Argos im HijackThis-Forum

 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Naja kann es aber auch verstehen das hier angefragt wurde. Wenn ich als Antwort nen riesen textbaustein bekomme der mich fast erschlägt, hätte ich auch keine lust mehr da weiter zu machen.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Nach dem Neuaufsetzen lässt du ZoneAlarm weg und richtest dir ein eingeschränktes Benutzerkonto zum surfen und arbeiten ein!


« Medlung bei Sicherheitsprüfungjceacqs.exe »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!