[Enton2CV]

Guten Abend,

ich habe da ein Problem.
Nach dem Virenscan hat mein PC folgende Trojaner:

TR/Crypt.ZPACK.Gen
TR/Drop.Agent.crc
TR/Vundo.Gen

Mit dem Virenprogramm habe ich sie gelöscht.Nach einem zweiten Durchlauf waren sie immer noch da.

Wer kann mir helfen?
Bin aber nur ein einfacher Anwender.

Danke Enton2CV

[ckjthedogmaster]

Welches Virenprogramm nutzt du?

Lad dir mal HJT runter und mach mal einen Scan: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

und poste den Bericht.

Alternativ kannst du diese Punkte ab arbeiten [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ] und hier posten. Schaue es mir dann an.

[Enton2CV]

Hallo,
vielen Dank für den Tip.
Habe hier die Liste von HJT.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:30:26, on 4.12.2009
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\System32\PSIService.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\UAService7.exe
C:\Programme\IncrediMail\bin\IMApp.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
R3 - URLSearchHook: (no name) - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - (no file)
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - (no file)
O2 - BHO: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - (no file)
O3 - Toolbar: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)
O3 - Toolbar: FireShot - {6E6E744E-4D20-4ce3-9A7A-26DFFFE22F68} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe /boot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\WINDOWS\System32\shdocvw.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) -
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.168,85.255.112.146
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.168,85.255.112.146
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.168,85.255.112.146
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Crypkey License - CrypKey (Canada) Ltd. - C:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\System32\PSIService.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\System32\UAService7.exe

Ich hoffe ,das ist so richtig und man kann mit dieser Info etwas anfangen.
Habe heute morgen noch einmal das Antivir laufen lassen und nun hat er nichts mehr gefunden.

Danke für die Hilfe.

Enton2CV

[wishinet]

Abhängig davon was Du mit der Kiste machst: Banking? - Installier sie komplett neu. Es gibt keine verlässliche Möglichkeit den Kram wieder rauszubekommen.

[ckjthedogmaster]

Es gibt Einträge, die verdächtig sind:

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.168,85.255.112.146
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.112.168,85.255.112.146
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.168,85.255.112.146

Es deutet zumindest erstmal darauf hin, das du dir was eingefangen hast, was genau kann ich dir immo nicht sagen. Es wird aber wohl ein Rootkuit sein, der die Daten nach Ukraine schickt.

organisation: ORG-UL25-RIPE
org-name: UkrTeleGroup Ltd.
org-type: LIR
address: UkrTeleGroup Ltd.
Mechnikova 58/5
65029 Odessa
Ukraine

Las mal dies noch rüberlaufen:

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

und schreib mal, ob er was findet. Avira ist wahrscheinlich machtlos.

[ckjthedogmaster]

Hab nochmal geguckt, ob es eine schnelle Lösung gibt. das beste Daten sichern und neu aufsetzen. Alle wichtigen Passwörter solltest du von einem anderen PC aus ändern, ehe da einer unbefugten Zugriff drauf nimmt.

[Enton2CV]

Guten Morgen,

vielen Dank für die Hilfe.Werde heute die Daten sichern und das Laptop plätten.
Werde umsteigen auf Ubuntu und hoffe das es dann weniger Ärger gibt.

Danke an alle.

Enton2CV

[Bubblexx]

mhhh ich hätt einfach regedit einträge gelöscht damit er sich nicht automatisch verbindet,danach den virus selbst und das wars.vllt noch kontrollieren ob wirklich keine fremde verbindung mehr raus geht