siehe Re: Trojaner TR/DROP.Small.XL und auch TR/DROP.ZLOB.FK1

Hi,

Dein Trojaner ist ein s.g Downloader, d.h. er ist dazu da Trojaner auf den System zu laden.

Schau mal hier nach: http://www.emsisoft.de/de/software/free/

Hallo,

führe mal zu Informationszwecken einen HijackThis-Log aus.
Er liefert steht’s wertvolle Informationen über den Zustand deines Systems und
kann das eine oder andere Problem auch lösen.
Hier der Link zu dem Tool
http://www.hijackthis.de/     
und folge den Anweisungen und poste den Log.
Downloadlink zum Tool
http://www.mmdirect.de/downloads/hijackthis_199.zip

Wenn du noch nicht weist, wie das Tool funktioniert, auf der folgenden Webseiten gibt es eine kleine Hilfestellung:
http://www.wintotal.de/Tipps/Eintrag.php?TID=873
oder
http://www.trojaner-board.de/showthread.php?t=17493

Die Schnellanleitung:
Öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neu starten

Verwende auch das Programm Killbox um die Dateien zu löschen die Ewido als Malware erkannt hat und selbst nicht bereinigen kann.
Download = http://www.bleepingcomputer.com/files/killbox.php
Eine Anleitung zur Killbox ist unter diesem Link zu finden
http://virus-protect.org/killbox.html

Ok, habe ich gemacht,

hier mein Logfile:
Logfile of HijackThis v1.99.1
Scan saved at 17:48:37, on 03.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\acs.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Acer\eManager\anbmServ.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Acer\eRecovery\Monitor.exe
C:\Programme\Belkin Mouse 1.0\MOUSE32A.EXE
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\Programme\Creative\Shared Files\CamTray.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\D-Link AirPlus Xtreme G\AirPlus.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
c:\programme\softwin\bitdefender8\bdmcon.exe
C:\DOKUME~1\Gnewikow\LOKALE~1\Temp\Rar$EX17.516\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.gmx.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.0.1:3128;gopher=192.168.0.1:3128;http=192.168.0.1:3128;https=192.168.0.1:3128;socks=192.168.0.1:1080
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Belkin Mouse 1.0\MOUSE32A.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PD0630 STISvc] RunDLL32.exe P0630Pin.dll,RunDLL32EP 513
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe"
O4 - HKLM\..\Run: [dmgpq.exe] C:\WINDOWS\system32\dmgpq.exe
O4 - HKCU\..\Run: [Creative WebCam Tray] "C:\Programme\Creative\Shared Files\CamTray.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: ACS.lnk = ?
O4 - Global Startup: D-Link AirPlus Xtreme G Configuration Utility.lnk = ?
O4 - Global Startup: D-Link REG Utility.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135601268296
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1140139424843
O17 - HKLM\System\CCS\Services\Tcpip\..\{008DB97F-11F7-4147-BC27-D3E9EF0343F1}: NameServer = 85.255.113.139,85.255.112.186
O17 - HKLM\System\CCS\Services\Tcpip\..\{0E72191A-BFA1-4BFD-A7ED-C91F40E154DD}: NameServer = 85.255.113.139,85.255.112.186
O17 - HKLM\System\CCS\Services\Tcpip\..\{10689F6E-9524-4852-B482-41FA873ADA71}: NameServer = 85.255.113.139,85.255.112.186
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.139 85.255.112.186
O17 - HKLM\System\CS1\Services\Tcpip\..\{008DB97F-11F7-4147-BC27-D3E9EF0343F1}: NameServer = 85.255.113.139,85.255.112.186
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.139 85.255.112.186
O20 - AppInit_DLLs: C:\WINDOWS\system32\wmfhotfix.dll
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Dein Problem ist dieser Eintrag aus dem Logfile of HijackThis:
O4 - HKLM\..\Run: [dmgpq.exe] C:\WINDOWS\system32\dmgpq.exe

Was es genau ist, kann die noch nicht sagen.
Das Scannergebnis von Ewido wäre sehr Informativ für uns, bitte mal posten.

Teste die Datei einfach auch damit, dann wissen mehr.
http://www.virustotal.com/flash/index_en.html
oder
http://virusscan.jotti.org/de/

Wird dabei Malware gefunden, dann poste das Ergebnis hier.


Und hier noch ein Freeware Online-Scanner gegen Viren, Rootkits, Spyware und andere Schadprogramme den du unbedingt dein System “anvertrauen“ solltes.
Für eine schnelle und kostenlose Überprüfung des kompletten Systems bieten dieser
Online-Scanner in Englischer Sprache gute Dienste. Übrigens, er läuft nur unter dem Microsoft Internet Explorer mit ActiveX und besitzen eine Reinigungsfunktion.

F-Secure Online Scanner
http://support.f-secure.com/enu/home/ols3.shtml

Ebenfalls zu empfehlen ist der Panda Online-Scan.

HELP,

erstmal vielen Dank für deine Tipps, und jetzt zum ungemütlichen teil. Wollte die dmgpq.exe bei der o.g. virustotal.com seite testen, allerdings ist wahrscheinlich die Datei in diesem Speicherort versteckt, d.h. ich konnte sie unter C:\WINDOWS\system32\dmgpq.exe nicht finden!

Hier das Scanergebnis von Ewido:
---------------------------------------------------------
ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

 + Erstellt um:   17:41:43 04.08.2006
 + Scan-Ergebnis:   

[1532] VM_01660000 -> Trojan.Small.fb : Fehler während der Säuberung.

::Berichtende


Habe auch den F-secure online scanner durchlaufen lassen, hat nur tracking cookies gefunden.

Christoph,

hast du den verdächtigen Eintrag aus dem HijackThis-Log schon gelöscht?
Bitte erstelle ein neues HijackThis-Log!
Was sagt der Online Scanner von Panda?
Hatte der Online Scanner von Bitdefender eine Malware gefunden?
Findet AntiVir was?
Wurde der PC im abgesicherten Modus mit Ewido gescannt?
Überprüfe auch deine Einstellung der Ansicht, damit wirklich alle Dateien angezeigt werden!

Mal ganz vorsichtig ausgedrückt,
es könnte ein Fehlalarm von Ewido sein!

Fen verdächtigen Eintrag konnte ich wie beschrieben nicht löschen, weil die Datei nicht auffindbare ist, ich habe auch versteckte Dateien anzeigen lassen, ist trotzdem nicht dabei, wie gibts das? Deswegen ist auch das Hijackthis log dasselbe

Bitdefender und AntiVir finden nix mehr.

Der Panda scanner sagt folgendes:
                                                                          Adware:adware/sbsoft     Nicht desinfiziert       C:\WINDOWS\rdt.ini 
Nein, ich habe ewido wohl nicht im abgesicherten Modus gescannt. Soll ich nochmal?

Lösche erst mal diese Datei:
C:\WINDOWS\rdt.ini
Der Mist ist zwar nicht das Problem, aber sollte trotzdem vom Rechner entfernt werden.

Weiter lösche bitte deinen Browser Cache und alle sonstigen Temporären Dateien,
ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner,
http://www.ccleaner.com/ccdownload.asp
setze bei den Einstellungen unter dem Reiter von Windows und Anwendungen alle möglichen Häckchen und führe CCleaner aus.

Als nächstes aktualisiere Ewido und führe einen vollständigen Check gemäß der Anleitung aus.
Um eine optimale Überprüfung mit dem Tool zu gewährleisten, sollte der PC ausschließlich nach der folgenden Anweisung gescannt werden.
1. PC vom Netzwerk und Internet trennen
2. Die Systemwiederherstellung deaktivieren  (Nur Windows XP und ME)
3. PC im abgesicherten Modus starten
(Für den Punkt 2 und 3 findet man unter http://www.bsi.de/av/texte/wiederher.htm
eine Anleitung)
4. Die Antimalware-Software starten und eine komplette Überprüfung des Systems vornehmen. Bei einer erkannten Infektion sollte den Anweisungen der Software gefolgt werden.
5. PC wieder normal Starten und die Systemwiederherstellung aktivieren

Poste das Scan-Protokolle hier, erstelle ein neues HijackThis-Log und poste den Logfile ebenfalls hier.

Zum Schluss lade dir mal das Tool RootkitRevealer herunter:
http://www.sysinternals.com/Utilities/RootkitRevealer.html
Führe einen Analyse durch und poste den Log hier. 

Hallo Christopf G.,
Windows traut dir nicht zu alle Dateien zu sehen,deshalb versteckt es bestimmte Systemdateien vor dir.Diese Einrichtung machen sich Trojaner zu Nutzen.Dei Log sagt definitiv ,die Datei ist da.Um sie bei Virustotal hochzuladen,gehst du folgendermaßen vor :
Bei XP öffnest du einen Ordner, z. B. eigene Dateien, dann Extras, Ordneroptionen, Ansicht, "Alle Dateien und Ordner anzeigen" ,Haken rein
 Explorer- Extras- Ordneroptionen- Ansicht- Geschützte Systemdateien ausblenden Haken raus  
Somit kannst du sämtliche Dateien sehen.Suche nun der Pfadangabe entsprechend nach der Datei und ladfe sie hoch.Bekommst du eine Fehlermeldung von Virustotal ,sinngemäß "The file you upload is 0 Byte"
Taskmanager aufrufen und den dazugehörigen Prozess beenden.Dann erneuter Versuch.
@ Flori
Hast du einen Link gesehen ,der deine "Backdoor"-Vermutung unterstützt ?
Sir Reklov



 

Was für eine Backdoor Vermutung?  ???

JAAAwoohhhlllll.
Ich bin wieder frei. Frei von jeglicher malware.
Ihr seid die Besten der Guten!

Vieln herzlichen Dank an alle, besonders an "HELP", jetzt kann ich endlich wieder beruhigt schlafen und ab morgen meinen Urlaub geniessen!
Grüße aus Detroit, MI.