Hijack????

Hi,
hab seit heute folg. Problem mit meinem Lappi. Hab heute ausversehen über den MSN Messenger einen Link von einen Bekannten angenommen, den er nicht versendet hat.

Hab einen Scan mit Antivir und Malware gemacht.

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 10. Februar 2010 17:26

Es wird nach 1736232 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer :
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername :
Computername :

Versionsinformationen:
BUILD.DAT : 9.0.0.419 21701 Bytes 22.01.2010 18:24:00
AVSCAN.EXE : 9.0.3.10 466689 Bytes 20.11.2009 00:36:20
AVSCAN.DLL : 9.0.3.0 49409 Bytes 13.02.2009 12:04:12
LUKE.DLL : 9.0.3.2 209665 Bytes 20.02.2009 11:35:46
LUKERES.DLL : 9.0.2.0 13569 Bytes 26.01.2009 10:42:00
VBASE000.VDF : 7.10.0.0 19875328 Bytes 06.11.2009 00:36:20
VBASE001.VDF : 7.10.1.0 1372672 Bytes 19.11.2009 00:36:20
VBASE002.VDF : 7.10.3.1 3143680 Bytes 20.01.2010 00:24:02
VBASE003.VDF : 7.10.3.75 996864 Bytes 26.01.2010 18:51:30
VBASE004.VDF : 7.10.3.76 2048 Bytes 26.01.2010 18:51:30
VBASE005.VDF : 7.10.3.77 2048 Bytes 26.01.2010 18:51:30
VBASE006.VDF : 7.10.3.78 2048 Bytes 26.01.2010 18:51:30
VBASE007.VDF : 7.10.3.79 2048 Bytes 26.01.2010 18:51:30
VBASE008.VDF : 7.10.3.80 2048 Bytes 26.01.2010 18:51:30
VBASE009.VDF : 7.10.3.81 2048 Bytes 26.01.2010 18:51:30
VBASE010.VDF : 7.10.3.82 2048 Bytes 26.01.2010 18:51:30
VBASE011.VDF : 7.10.3.83 2048 Bytes 26.01.2010 18:51:30
VBASE012.VDF : 7.10.3.84 2048 Bytes 26.01.2010 18:51:30
VBASE013.VDF : 7.10.3.85 2048 Bytes 26.01.2010 18:51:30
VBASE014.VDF : 7.10.3.122 172544 Bytes 29.01.2010 18:51:30
VBASE015.VDF : 7.10.3.149 79872 Bytes 01.02.2010 22:35:40
VBASE016.VDF : 7.10.3.174 68608 Bytes 03.02.2010 22:35:40
VBASE017.VDF : 7.10.3.199 76800 Bytes 04.02.2010 22:35:40
VBASE018.VDF : 7.10.3.222 64512 Bytes 05.02.2010 17:56:36
VBASE019.VDF : 7.10.3.223 2048 Bytes 05.02.2010 17:56:36
VBASE020.VDF : 7.10.3.224 2048 Bytes 05.02.2010 17:56:36
VBASE021.VDF : 7.10.3.225 2048 Bytes 05.02.2010 17:56:36
VBASE022.VDF : 7.10.3.226 2048 Bytes 05.02.2010 17:56:36
VBASE023.VDF : 7.10.3.227 2048 Bytes 05.02.2010 17:56:38
VBASE024.VDF : 7.10.3.228 2048 Bytes 05.02.2010 17:56:38
VBASE025.VDF : 7.10.3.229 2048 Bytes 05.02.2010 17:56:38
VBASE026.VDF : 7.10.3.230 2048 Bytes 05.02.2010 17:56:38
VBASE027.VDF : 7.10.3.231 2048 Bytes 05.02.2010 17:56:38
VBASE028.VDF : 7.10.3.232 2048 Bytes 05.02.2010 17:56:38
VBASE029.VDF : 7.10.3.233 2048 Bytes 05.02.2010 17:56:38
VBASE030.VDF : 7.10.3.234 2048 Bytes 05.02.2010 17:56:38
VBASE031.VDF : 7.10.3.240 75776 Bytes 08.02.2010 17:56:38
Engineversion : 8.2.1.160
AEVDF.DLL : 8.1.1.3 106868 Bytes 23.01.2010 00:21:14
AESCRIPT.DLL : 8.1.3.13 823674 Bytes 04.02.2010 22:35:46
AESCN.DLL : 8.1.4.0 127348 Bytes 31.01.2010 18:51:34
AESBX.DLL : 8.1.1.1 246132 Bytes 20.11.2009 00:36:20
AERDL.DLL : 8.1.3.4 479605 Bytes 06.12.2009 16:53:50
AEPACK.DLL : 8.2.0.5 422262 Bytes 16.01.2010 15:07:38
AEOFFICE.DLL : 8.1.0.38 196987 Bytes 23.07.2009 09:59:40
AEHEUR.DLL : 8.1.1.5 2326901 Bytes 08.02.2010 17:56:40
AEHELP.DLL : 8.1.10.0 237942 Bytes 16.01.2010 15:07:36
AEGEN.DLL : 8.1.1.86 369012 Bytes 04.02.2010 22:35:42
AEEMU.DLL : 8.1.1.0 393587 Bytes 04.10.2009 01:08:36
AECORE.DLL : 8.1.11.1 184694 Bytes 04.02.2010 22:35:42
AEBB.DLL : 8.1.0.3 53618 Bytes 09.10.2008 14:32:40
AVWINLL.DLL : 9.0.0.3 18177 Bytes 12.12.2008 08:47:58
AVPREF.DLL : 9.0.3.0 44289 Bytes 08.09.2009 16:08:02
AVREP.DLL : 8.0.0.3 155905 Bytes 20.01.2009 14:34:30
AVREG.DLL : 9.0.0.0 36609 Bytes 07.11.2008 15:25:06
AVARKT.DLL : 9.0.0.3 292609 Bytes 24.03.2009 15:05:38
AVEVTLOG.DLL : 9.0.0.7 167169 Bytes 30.01.2009 10:37:06
SQLITE3.DLL : 3.6.1.0 326401 Bytes 28.01.2009 15:03:50
SMTPLIB.DLL : 9.2.0.25 28417 Bytes 02.02.2009 08:21:30
NETNT.DLL : 9.0.0.0 11521 Bytes 07.11.2008 15:41:22
RCIMAGE.DLL : 9.0.0.25 2438913 Bytes 15.05.2009 15:35:18
RCTEXT.DLL : 9.0.73.0 87297 Bytes 20.11.2009 00:36:20

Konfiguration für den aktuellen Suchlauf:
Job Name..............................: Vollständige Systemprüfung
Konfigurationsdatei...................: d:\programme\avira\antivir desktop\sysscan.avp
Protokollierung.......................: niedrig
Primäre Aktion........................: interaktiv
Sekundäre Aktion......................: ignorieren
Durchsuche Masterbootsektoren.........: ein
Durchsuche Bootsektoren...............: ein
Bootsektoren..........................: C:, D:, F:,
Durchsuche aktive Programme...........: ein
Durchsuche Registrierung..............: ein
Suche nach Rootkits...................: ein
Integritätsprüfung von Systemdateien..: aus
Datei Suchmodus.......................: Alle Dateien
Durchsuche Archive....................: ein
Rekursionstiefe einschränken..........: 20
Archiv Smart Extensions...............: ein
Makrovirenheuristik...................: ein
Dateiheuristik........................: mittel

Beginn des Suchlaufs: Mittwoch, 10. Februar 2010 17:26

Der Suchlauf nach versteckten Objekten wird begonnen.
HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{4E491129-241A-4E29-B976-AB969EC06524}\ntecontextlist
[INFO] Der Registrierungseintrag ist nicht sichtbar.
Es wurden '44346' Objekte überprüft, '1' versteckte Objekte wurden gefunden.

Der Suchlauf über gestartete Prozesse wird begonnen:

Es wurden '57' Prozesse mit '57' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'F:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen:
Die Registry wurde durchsucht ( '81' Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <ACER>
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
[HINWEIS] Bei dieser Datei handelt es sich um eine Windows Systemdatei.
[HINWEIS] Es ist in Ordnung, dass diese Datei für die Suche nicht geöffnet werden kann.
Beginne mit der Suche in 'D:\' <ACERDATA>
Beginne mit der Suche in 'F:\' <32_00_00>
F:\Shared\Musik neuer pc\2. MUSIK VON KAZAA\6. winamp morpheus\wace211.exe

[0] Archivtyp: ACE SFX (self extracting)
--> winace.cnt
[WARNUNG] Zu wenig Speicher! Virus bzw. unerwünschtes Programm wurde nicht entfernt!
--> winace_enu.cnt
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
[WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.

Ende des Suchlaufs: Mittwoch, 10. Februar 2010 18:45
Benötigte Zeit: 1:18:53 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

7086 Verzeichnisse wurden überprüft
365223 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
365221 Dateien ohne Befall
7433 Archive wurden durchsucht
5 Warnungen
2 Hinweise
44346 Objekte wurden beim Rootkitscan durchsucht
1 Versteckte Objekte wurden gefunden

Malware

Malwarebytes' Anti-Malware 1.42
Datenbank Version: 3399
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

10.02.2010 21:57:13
mbam-log-2010-02-10 (21-57-13).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|F:\|)
Durchsuchte Objekte: 201435
Laufzeit: 1 hour(s), 16 minute(s), 6 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.Homepage) -> Bad: (Postarticles.net) Good: (Google) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Danke+Gruß
Eddy

Hallo Schwarzes Licht :D,

also ich versuch so gut wie möglich deine Fragen zu beantworten. Auch habe ich ein neuen Scan durchgeführt.

Zitat von Das-Schwarze-Licht;766851

Hallo Eddy_hh und willkommen in paules-pc-forum,

Wir benötigen mehr Informationen damit wir dir besser helfen können.
Hast du bei Malwarebytes ein Update durchgeführt? - Ja habe ich...

Verschickt dein MSN account links? - soweit ich weiß nicht, sicher bin ich aber nicht.

Außerdem benötige ich einen RSIT Logfile. Anschließend hier Posten. -wenn du mir sagst was das ist und wie ich das mache????

Wie sah der Link aus? Was verlangte die Website von dir? also ich hab mich mit einer Bekannten über MSN unterhalten. Als eine weitere Bekannte mich mehr oder weniger angeschrieben hat, mit einem Link wo ich Fotos anschauen kann etc.. Ich hab natürlich den Link angeklickt und es hat sich ein weiteres Fenster geöffnet, wo ich die Datei ausführen/speichern soll. Fotos etc habe ich nicht gesehen, nur ein leeres weißes Fenster.

Was hat sich am verhalten des PC´s geändert? - also heute ist mir nichts aufgefallen, aber gestern ist andauernd mein MSN Messenger abgestürzt. Weiteres verhalten ist mir nicht aufgefallen.

Du solltest nach der Bereinigung deines Pc´s oder von einem zweit Pc aus das Passwort ändern!! - wird gemacht.

Diese Art von Bedrohung ist zwar bekannt und seit einiger zeit im umlauf doch bis jetzt findet kein Ativiren Programm den "Virus". Verzichte auf Programme die dir Versprechen den Virus zu Löschen.

Außerdem sollte dein bekannter hier ebendfalls einen account anlegen und seinen Pc bereinigen lassen! - werd ich weiterleiten.

Danach sehn wir weiter.
Sobald du fragen hast oder dir erwas unklar ist bitte hier vorher klären.

Gruß Leo

Alles anzeigen

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3726
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

11.02.2010 22:25:07
mbam-log-2010-02-11 (22-25-07).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 181589
Laufzeit: 22 minute(s), 20 second(s)

Infizierte Speicherprozesse: 1
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
C:\WINDOWS\infocard.exe (Backdoor.IRCBot) -> Failed to unload process.

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\firewall administrating (Backdoor.IRCBot) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.Homepage) -> Bad: (Postarticles.net) Good: (Google) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\infocard.exe (Backdoor.IRCBot) -> Delete on reboot.

Zitat von Das-Schwarze-Licht;767397

Hallo,Lad dir bitte Combofix herunter und führe es aus!Anleitung findest du hier:Logfile hier Posten.Hast du alle gefundenen Bedrohungen gelöscht? ja habe ich...zumindest zeigt er mir nichts mehr an!Gruß Leo

ComboFix 10-02-12.01 - xxx 15.02.2010 14:34:00.1.2 - FAT32x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.49.1031.18.1022.602 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\xxx\Desktop\ComboFix.exe

habe ich gemacht, dass wars jetzt??? oder nochmal scan etc.????

danke + gruß
eddy

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Mittwoch, 17. Februar 2010 16:44

Es wird nach 1766542 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer :
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : xxx
Computername : xxx

Zitat von Das-Schwarze-Licht;768132

Eine Aufgabe hab ich aber noch für dich:)Ich möchte deine Instalierten Programme sehn.Lad dir Ccleaner herunter:http://www.paules-pc-forum.de/forum/4-pc-sic…saeuberung.htmlKannst dein System wie beschrieben bereinigen.So erstellst du die Programmliste:Öffnest Ccleaner ---> Auf der Linke Seite aus Extras--->Programme Deinstalieren---> unten rechts "als Textdatei speichern"Anschließen das Logfile posten.Du fragst dich, warum ich das mache? Ganz einfach. Alte Software kann den Pc ausbremsen und stellt zudem ein Sicherheitsrisiko da. Durch alte Sicherheitslücken kann z.B Schadsoftware auf dem Pc instaliert werden.Da du schon hier bist;) wollen wir deinen Pc fit für die "Zukunft" machen.Gruß Leo

Ccleaner habe ich schon auf den Rechner und hier ist das Logfile...

Hi Leo,

danke für deine Hilfe & Mühe...:-)

Deinen letzten Rat werde ich sofort umsetzen, sobald ich die Zeit dazu finde ;). Hab gestern Abend einen Scan mit Antivir gemacht und leider ist er wiedr fündig geworden...

bin ich gerade dabei markus, weil der scan text so lang ist stürzt die seite andauernd ab. hab den text mal bissel gekürzt, vielleicht reicht das ja....

Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Sonntag, 21. Februar 2010 05:06

Es wird nach 1775102 Virenstämmen gesucht.

Lizenznehmer : Avira AntiVir Personal - FREE Antivirus
Seriennummer :
Plattform : Windows XP
Windowsversion : (Service Pack 3) [5.1.2600]
Boot Modus : Normal gebootet
Benutzername : xxx
Computername : xxx

Ende des Suchlaufs: Sonntag, 21. Februar 2010 06:02
Benötigte Zeit: 29:25 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

4998 Verzeichnisse wurden überprüft
296051 Dateien wurden geprüft
1 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
1 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
36 Dateien konnten nicht durchsucht werden
296014 Dateien ohne Befall
7056 Archive wurden durchsucht
42 Warnungen
35 Hinweise
400843 Objekte wurden beim Rootkitscan durchsucht
0 Versteckte Objekte wurden gefunden

Payton

habe es so ausgeführt, wie du es geschrieben hast.

unter lokale laufwerke hat er keinen fund gefunden, nur 5 warnungen...

unter rootkitsuche hat gar nix angezeigt.....

hab nochmal ein scan mit malware gemacht und da hat er was gefunden.

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3726
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

25.02.2010 02:06:39
mbam-log-2010-02-25 (02-06-39).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 180264
Laufzeit: 31 minute(s), 19 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\System Volume Information\_restore{501249ED-461A-44D4-B160-67D81771EBAB}\RP577\A0107568.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.