Angeklickt-Forum

Rich Jenkins

Hallo,

habe heut von bitdefender den Onlinescanner genutzt, weil mein Avira nicht mehr starten wollte. Dabei kamm folgender Log heraus:

BitDefender QuickScan Beta 32-bit v0.9.9.0
------------------------------------------

Überprüfungsdatum: Sat Feb 20 10:52:52 2010
Computer ID: E8F5A491

Vorgang winlogon.exe (748) - Trojan.Generic.1423603

3 infizierte Datei(en) gefunden!
----------------------------------
C:\WINDOWS\system32\H8SRTiqxmnmttvu.dll - Trojan.FakeAV.ABN
C:\WINDOWS\system32\H8SRTwrkeqycfjx.dll - Trojan.FakeAlert.BTR
C:\WINDOWS\system32\H8SRTbhlldlypdw.dll - Trojan.Generic.2963682

Prozesse
--------
<unsigniert> Aureon 7.1 Firewire, Aureon Universe, Cinergy seri 1272 C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe

<verifiziert> Apple Mobile Device Service 2152 C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
<verifiziert> Betriebssystem Microsoft® Windows® 1852 C:\WINDOWS\Explorer.EXE
<verifiziert> Betriebssystem Microsoft® Windows® 3552 C:\WINDOWS\regedit.exe
<verifiziert> Betriebssystem Microsoft® Windows® 260 C:\WINDOWS\system32\RUNDLL32.EXE
<verifiziert> Betriebssystem Microsoft® Windows® 796 C:\WINDOWS\system32\services.exe
<verifiziert> Betriebssystem Microsoft® Windows® 664 C:\WINDOWS\System32\smss.exe
<verifiziert> Betriebssystem Microsoft® Windows® 3668 C:\WINDOWS\system32\wbem\wmiapsrv.exe
<verifiziert> Betriebssystem Microsoft® Windows® 748 C:\WINDOWS\system32\winlogon.exe
<verifiziert> Bonjour 2176 C:\Programme\Bonjour\mDNSResponder.exe
<verifiziert> EPSON Status Monitor 3 1724 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBKE.EXE
<verifiziert> EPSON Status Monitor 3 1780 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICCE.EXE
<verifiziert> EPSON Status Monitor 3 1712 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIEFE.EXE
<verifiziert> Firefox 3872 C:\Programme\Mozilla Firefox\firefox.exe
<verifiziert> GSvr.exe 2216 C:\Programme\GIGABYTE\EnergySaver\GSvr.exe
<verifiziert> iTunes 3480 C:\Programme\iPod\bin\iPodService.exe
<verifiziert> iTunes 476 C:\Programme\iTunes\iTunesHelper.exe
<verifiziert> Java(TM) Platform SE 6 U14 2348 C:\Programme\Java\jre6\bin\jqs.exe
<verifiziert> Java(TM) Platform SE 6 U14 4044 C:\Programme\Java\jre6\bin\jucheck.exe
<verifiziert> Java(TM) Platform SE 6 U14 176 C:\Programme\Java\jre6\bin\jusched.exe
<verifiziert> Logitech GamePanel Software 1200 C:\Programme\Logitech\GamePanel Software\Applets\ColorOnly\LCDPictureViewer.exe
<verifiziert> Logitech GamePanel Software 1176 C:\Programme\Logitech\GamePanel Software\Applets\LCDMedia.exe
<verifiziert> Logitech GamePanel Software 1184 C:\Programme\Logitech\GamePanel Software\Applets\LCDPop3.exe
<verifiziert> Logitech GamePanel Software 384 C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
<verifiziert> Logitech GamePanel Software 1244 C:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
<verifiziert> Logitech GamePanel Software 396 C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
<verifiziert> Microsoft® Windows® Operating System 3756 C:\WINDOWS\System32\alg.exe
<verifiziert> Microsoft® Windows® Operating System 720 C:\WINDOWS\system32\csrss.exe
<verifiziert> Microsoft® Windows® Operating System 1820 C:\WINDOWS\system32\ctfmon.exe
<verifiziert> Microsoft® Windows® Operating System 808 C:\WINDOWS\system32\lsass.exe
<verifiziert> Microsoft® Windows® Operating System 1536 C:\WINDOWS\system32\spoolsv.exe
<verifiziert> Microsoft® Windows® Operating System 1352 C:\WINDOWS\system32\svchost.exe
<verifiziert> Microsoft® Windows® Operating System 1008 C:\WINDOWS\system32\svchost.exe
<verifiziert> Microsoft® Windows® Operating System 2052 C:\WINDOWS\system32\svchost.exe
<verifiziert> Microsoft® Windows® Operating System 2512 C:\WINDOWS\system32\svchost.exe
<verifiziert> Microsoft® Windows® Operating System 1312 C:\WINDOWS\system32\svchost.exe
<verifiziert> Microsoft® Windows® Operating System 1208 C:\WINDOWS\System32\svchost.exe
<verifiziert> Microsoft® Windows® Operating System 1108 C:\WINDOWS\system32\svchost.exe
<verifiziert> Microsoft® Windows® Operating System 3860 C:\WINDOWS\system32\wuauclt.exe
<verifiziert> NVIDIA Driver Helper Service, Version 182.42 2388 C:\WINDOWS\system32\nvsvc32.exe
<verifiziert> RealPlayer (32-bit) 2008 C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
<verifiziert> Realtek HD Audio Sound Effect Manager 184 C:\WINDOWS\RTHDCPL.EXE
<verifiziert> Realtek HD Sound Manager 172 C:\WINDOWS\SOUNDMAN.EXE

Netzwerkaktivität
-----------------
Vorgang firefox.exe (3872) verbunden mit Anschluss 80 (HTTP) - mu-in-f143.1e100.net
Vorgang firefox.exe (3872) verbunden mit Anschluss 80 (HTTP) - mu-in-f149.1e100.net
Vorgang firefox.exe (3872) verbunden mit Anschluss 80 (HTTP) - 194-17-45-184.customer.telia.com
Vorgang firefox.exe (3872) verbunden mit Anschluss 80 (HTTP) - mu-in-f143.1e100.net
Vorgang firefox.exe (3872) verbunden mit Anschluss 80 (HTTP) - 193.201.12.66
Vorgang firefox.exe (3872) verbunden mit Anschluss 80 (HTTP) - mojofarm.snv.mediaplex.com
Vorgang firefox.exe (3872) verbunden mit Anschluss 80 (HTTP) - mu-in-f157.1e100.net
Vorgang firefox.exe (3872) verbunden mit Anschluss 80 (HTTP) - www.chip.de
Vorgang firefox.exe (3872) verbunden mit Anschluss 80 (HTTP) - mu-in-f157.1e100.net
Vorgang firefox.exe (3872) verbunden mit Anschluss 80 (HTTP) - mu-in-f148.1e100.net
Vorgang firefox.exe (3872) verbunden mit Anschluss 80 (HTTP) - ds160.xs4all.nl
Vorgang firefox.exe (3872) verbunden mit Anschluss 80 (HTTP) - mu-in-f157.1e100.net
Vorgang firefox.exe (3872) verbunden mit Anschluss 80 (HTTP) - kasperskycom9.kaspersky-labs.com
Vorgang firefox.exe (3872) verbunden mit Anschluss 80 (HTTP) - *.112.2o7.net
Vorgang firefox.exe (3872) verbunden mit Anschluss 80 (HTTP) - a88-221-81-115.deploy.akamaitechnologies.com
Vorgang firefox.exe (3872) verbunden mit Anschluss 80 (HTTP) - dyna-down1.nslb.sj.mozilla.com
Vorgang firefox.exe (3872) verbunden mit Anschluss 80 (HTTP) - 195.145.147.32

Vorgang svchost.exe (1108) kontrolliert die Anschlüsse: 135 (RPC)

Autoruns und kritische Dateien
------------------------------
<unsigniert> AntiVir Desktop C:\Programme\Avira\AntiVir Desktop\avcenter.exe
<unsigniert> AntiVir Desktop C:\Programme\Avira\AntiVir Desktop\avgnt.exe
<unsigniert> Aureon 7.1 Firewire, Aureon Universe, Cinergy seri C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe
<unsigniert> Gigabyte RAID Configurer C:\WINDOWS\system32\xRaidSetup.exe
<unsigniert> QuickTime C:\Programme\QuickTime\QTTask.exe
<unsigniert> xInsIDE.exe C:\WINDOWS\RaidTool\xInsIDE.exe

<verifiziert> ALCWZRD C:\WINDOWS\ALCWZRD.EXE
<verifiziert> Betriebssystem Microsoft® Windows® C:\WINDOWS\system32\browseui.dll
<verifiziert> Betriebssystem Microsoft® Windows® C:\WINDOWS\system32\crypt32.dll
<verifiziert> Betriebssystem Microsoft® Windows® C:\WINDOWS\system32\cscdll.dll
<verifiziert> Betriebssystem Microsoft® Windows® C:\WINDOWS\system32\logonui.exe
<verifiziert> Betriebssystem Microsoft® Windows® C:\WINDOWS\system32\sclgntfy.dll
<verifiziert> Betriebssystem Microsoft® Windows® C:\WINDOWS\system32\shell32.dll
<verifiziert> Betriebssystem Microsoft® Windows® C:\WINDOWS\system32\stobject.dll
<verifiziert> Betriebssystem Microsoft® Windows® c:\windows\system32\userinit.exe
<verifiziert> Betriebssystem Microsoft® Windows® C:\WINDOWS\system32\wlnotify.dll
<verifiziert> EPSON Status Monitor 3 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBKE.EXE
<verifiziert> EPSON Status Monitor 3 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICCE.EXE
<verifiziert> EPSON Status Monitor 3 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIEFE.EXE
<verifiziert> Flash Player Helper C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe
<verifiziert> iTunes C:\Programme\iTunes\iTunesHelper.exe
<verifiziert> Java(TM) Platform SE 6 U14 C:\Programme\Java\jre6\bin\jusched.exe
<verifiziert> Logitech GamePanel Software C:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe
<verifiziert> Logitech GamePanel Software C:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
<verifiziert> Logitech GamePanel Software C:\Programme\Logitech\GamePanel Software\LgDevAgt.exe
<verifiziert> Messenger C:\Programme\Messenger\msmsgs.exe
<verifiziert> Microsoft® Windows® Operating System C:\WINDOWS\system32\apphelp.dll
<verifiziert> Microsoft® Windows® Operating System C:\WINDOWS\system32\cryptnet.dll
<verifiziert> Microsoft® Windows® Operating System C:\WINDOWS\system32\ctfmon.exe
<verifiziert> Microsoft® Windows® Operating System C:\WINDOWS\system32\dimsntfy.dll
<verifiziert> Microsoft® Windows® Operating System C:\WINDOWS\system32\dumprep.exe
<verifiziert> NVIDIA Compatible Windows 2000 Display driver, Ver C:\WINDOWS\system32\NvCpl.dll
<verifiziert> NVIDIA Media Center Library C:\WINDOWS\system32\nvmctray.dll
<verifiziert> nwiz.exe C:\WINDOWS\system32\nwiz.exe
<verifiziert> RealPlayer (32-bit) C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
<verifiziert> Realtek AC97 Audio - Event Monitor C:\WINDOWS\ALCMTR.EXE
<verifiziert> Realtek HD Audio Sound Effect Manager C:\WINDOWS\RTHDCPL.EXE
<verifiziert> Realtek HD Sound Manager C:\WINDOWS\SOUNDMAN.EXE
<verifiziert> Spybot - Search & Destroy C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
<verifiziert> SpyBot-S&D C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
<verifiziert> Windows Genuine Advantage C:\WINDOWS\system32\WgaLogon.dll
<verifiziert> Windows® Internet Explorer C:\WINDOWS\system32\webcheck.dll

Browser Plugins
---------------
<unsigniert> Bonjour C:\Programme\Bonjour\mdnsNSP.dll
<unsigniert> Deskband c:\programme\terratec\terratec home cinema\thcdeskband.dll
<unsigniert> EPSON Web-To-Page c:\programme\epson\epson web-to-page\epson web-to-page.dll
<unsigniert> InstallShield Update Service C:\WINDOWS\Downloaded Program Files\dwusplay.dll
<unsigniert> InstallShield Update Service C:\WINDOWS\Downloaded Program Files\dwusplay.exe
<unsigniert> InstallShield Update Service C:\WINDOWS\Downloaded Program Files\isusweb.dll
<unsigniert> Java(TM) Platform SE 6 U14 c:\programme\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
<unsigniert> QuickTime Plug-in 7.6.4 C:\Programme\Internet Explorer\plugins\npqtplugin.dll
<unsigniert> QuickTime Plug-in 7.6.4 C:\Programme\Internet Explorer\plugins\npqtplugin2.dll
<unsigniert> QuickTime Plug-in 7.6.4 C:\Programme\Internet Explorer\plugins\npqtplugin3.dll
<unsigniert> QuickTime Plug-in 7.6.4 C:\Programme\Internet Explorer\plugins\npqtplugin4.dll
<unsigniert> QuickTime Plug-in 7.6.4 C:\Programme\Internet Explorer\plugins\npqtplugin5.dll
<unsigniert> QuickTime Plug-in 7.6.4 C:\Programme\Internet Explorer\plugins\npqtplugin6.dll
<unsigniert> QuickTime Plug-in 7.6.4 C:\Programme\Internet Explorer\plugins\npqtplugin7.dll
<unsigniert> QuickTime Plug-in 7.6.4 C:\Programme\Mozilla Firefox\plugins\npqtplugin.dll
<unsigniert> QuickTime Plug-in 7.6.4 C:\Programme\Mozilla Firefox\plugins\npqtplugin2.dll
<unsigniert> QuickTime Plug-in 7.6.4 C:\Programme\Mozilla Firefox\plugins\npqtplugin3.dll
<unsigniert> QuickTime Plug-in 7.6.4 C:\Programme\Mozilla Firefox\plugins\npqtplugin4.dll
<unsigniert> QuickTime Plug-in 7.6.4 C:\Programme\Mozilla Firefox\plugins\npqtplugin5.dll
<unsigniert> QuickTime Plug-in 7.6.4 C:\Programme\Mozilla Firefox\plugins\npqtplugin6.dll
<unsigniert> QuickTime Plug-in 7.6.4 C:\Programme\Mozilla Firefox\plugins\npqtplugin7.dll
<unsigniert> RealJukebox NS Plugin C:\Programme\Mozilla Firefox\plugins\nprjplug.dll
<unsigniert> RealJukebox NS Plugin C:\Programme\Real\RealPlayer\Netscape6\nprjplug.dll
<unsigniert> RealPlayer Version Plugin C:\Programme\Mozilla Firefox\plugins\nprpjplug.dll
<unsigniert> RealPlayer Version Plugin C:\Programme\Real\RealPlayer\Netscape6\nprpjplug.dll

<verifiziert> Ask.com Toolbar c:\programme\askbardis\bar\bin\askbar.dll
<verifiziert> Betriebssystem Microsoft® Windows® C:\WINDOWS\system32\mswsock.dll
<verifiziert> BitDefender QuickScan C:\Dokumente und Einstellungen\Passenheim\Anwendungsdaten\Mozilla\Firefox\Profiles/mo579fra.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\bdqscan.dll
<verifiziert> BitDefender QuickScan C:\Dokumente und Einstellungen\Passenheim\Anwendungsdaten\Mozilla\Firefox\Profiles/mo579fra.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
<verifiziert> DeviceVM Url Search Hook c:\windows\system32\dvmurl.dll
<verifiziert> Foxit Reader Plugin for Mozilla C:\Programme\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
<verifiziert> Java Deployment Toolkit 6.0.140.8 C:\Programme\Mozilla Firefox\plugins\npdeploytk.dll
<verifiziert> Java(TM) Platform SE 6 U14 c:\programme\java\jre6\bin\jp2ssv.dll
<verifiziert> Messenger C:\Programme\Messenger\msmsgs.exe
<verifiziert> Microsoft Office 2003 C:\Programme\Mozilla Firefox\plugins\NPOFFICE.DLL
<verifiziert> Microsoft® Windows® Operating System C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
<verifiziert> Microsoft® Windows® Operating System C:\WINDOWS\system32\rsvpsp.dll
<verifiziert> Microsoft® Windows® Operating System C:\WINDOWS\system32\winrnr.dll
<verifiziert> Mozilla Default Plug-in C:\Programme\Mozilla Firefox\plugins\npnul32.dll
<verifiziert> npitunes.dll C:\Programme\iTunes\Mozilla Plugins\npitunes.dll
<verifiziert> NPSWF32.dll C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll
<verifiziert> RealPlayer Download and Record Plugin c:\programme\real\realplayer\rpbrowserrecordplugin.dll
<verifiziert> RealPlayer(tm) G2 LiveConnect-Enabled Plug-In (32- C:\Programme\Mozilla Firefox\plugins\nppl3260.dll
<verifiziert> RealPlayer(tm) G2 LiveConnect-Enabled Plug-In (32- C:\Programme\Real\RealPlayer\Netscape6\nppl3260.dll
<verifiziert> Spybot - Search & Destroy C:\Programme\Spybot - Search & Destroy\SDHelper.dll
<verifiziert> Windows® Internet Explorer C:\WINDOWS\system32\ieframe.dll

fahlende Dateien
----------------
Datei nicht gefunden: =
eingetragen in: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"GEST"

Datei nicht gefunden: C:\DOKUME~1\PASSEN~1\LOKALE~1\Temp\settdebugx.exe
eingetragen in: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\"settdebugx.exe"

Datei nicht gefunden: C:\Programme\buffed\BLASC.exe
eingetragen in: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\"BLASC"

Überprüfen
----------

Keine Dateien hochgeladen

Scan beendet - Kommunikation hat 2 Sek. gedauert
übertragene Daten - 0.05 MB gesendet, 2.94 KB empfangen
1023 Dateien und Module geprüft - 28 seconds

Könnt ihr was damit anfangen? Wäre riesig dankbar für eine schnelle Rückmeldung. Vor allem über eine, die besagt, dass ich Windows nicht neu aufsetzen muss.

Best wishes,

Rich
_________________
Danke für eure Hilfe!

The world is yours, but don´t overdue it!
I regret nothing!
-------------------------------------------------------
Win XP Pro 32 Bit SP 2; Intel Core 2 Duo E8500 3,1 GHz; DSL 6000; Speedport W501V; Crazy Browser, Firefox3.5.6, IE8, OE

Pöffi · Senator Anmeldungsdatum: 03.11.2005 Beiträge: 2997 Wohnort: NRW

Hi,

ich würde die drei Dateien zuerst mal nach Jotti, VirusTotal hochladen.
_________________
Gruß
Gerhard
_________________________________________________________________
Win 7 Premium | XP Home SP3, AMD Athlon 64, 4600+, 3GB RAM, RADEON X600
Firefox 3.6.9|Opera 10.62|IE 8 nur für Sicherheitupdates||TB 3.1.3|Opera-Mail

hac004 · Profi Member Anmeldungsdatum: 27.10.2008 Beiträge: 388 Wohnort: Berlin

...wie schön, wenn man ein Image gemacht hat. Auch dass du noch immer die gefährdete Version SP2 benutzt ist der pure Leichtsinn.
Vermutlich wirst du um eine Neuinstallation leider nicht herum kommen.
Gruss hac004
_________________
Man lernt nie aus!

Rich Jenkins

Habe dieses Windows Tool zum entfernen bösartiger Software drüberlaufen lassen und hier das Ergebnis:

TrojanWin32/Alureon.DH wurde entfernt
TrojanWinNT7/Alureon.D wurde entfernt

Seither startet auch mein Antivir wieder und geupdatet ist mein System auch. Der Quickscan von Defender zeigt mir ebenfalls an, dass keine Infizierungen mehr gefunden wurden.
Allerdings zeigt mir Antivir jetzt an, dass es folgendes gefunden hat:

C:\Programme\Malware Defense\mdefense.exe
TR/Fake.MalDef.B' [trojan]
_________________
Danke für eure Hilfe!

The world is yours, but don´t overdue it!
I regret nothing!
-------------------------------------------------------
Win XP Pro 32 Bit SP 2; Intel Core 2 Duo E8500 3,1 GHz; DSL 6000; Speedport W501V; Crazy Browser, Firefox3.5.6, IE8, OE

hac004 · Profi Member Anmeldungsdatum: 27.10.2008 Beiträge: 388 Wohnort: Berlin

Hallo Rich.
Glückwunsch! Und danke für die Rückmeldung.
Den SP3 solltest du aber trotzdem installieren und auch ein Image (z.B. Acronis True Image) ist wärmsten zu empfehlen, denn nicht immer geht es so glimpflich aus.
Gruss hac004
_________________
Man lernt nie aus!

Harald aus RE

hac004 · Profi Member Anmeldungsdatum: 27.10.2008 Beiträge: 388 Wohnort: Berlin

Hallo Rich,
oh, da hat Harald Recht, das habe ich übersehen, sorry!
Lass mal http://www.hijackthis.de/ drüber laufen, ob da noch was zum Löschen angezeigt wird. Die Anleitung (falls erforderlich findest du hier:
http://www.trojaner-info.de/an ... gekürzt ... /hijackthis/htlogtutorial.html

Gruss hac004
_________________
Man lernt nie aus!