Antivir XP 2008 und die Folgen

[Athon]

Wie sicherlich schon ein paar gelesen haben kursiert in letzter Zeit die Malware Antivirus XP 2008 und infiziert unschuldige PCs. Mein PC blieb leider nicht verschont und wurde ebenfalls befallen.

Das einzige Programm, welches es mir ermöglichte dagegen vorzugehen, war Malwarebytes' Anti-Malware. Dann hat ein check von PC-Cillin dann noch Trojan.Vundo diagnostiziert, welches ich mit der FixVundo.exe von Symantec angeblich auch wieder löschen konnte.

Dann zeigte mir die Online Auswertung von HiJackThis noch eine bösartige Software: Windows\privacy_danger\index.exe

Diesen Ordner kann ich aber (trotz richtiger Ordneroptionen) nicht finden, also lies ich HiJackThis das Problem "fixen".

Ich bitte jetzt um Hilfe, alle möglichen mitreisenden dieser Vireninfektion ausfindig zu machen und zu vernichten.

Hier der aktuelle HiJackThis Log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:55:31, on 21.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\system32\nvsvc32.exe
F:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
F:\WINDOWS\system32\PnkBstrA.exe
F:\WINDOWS\Explorer.EXE
F:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
F:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
F:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
F:\WINDOWS\system32\RUNDLL32.EXE
F:\Programme\Trend Micro\Internet Security 2007\pccguide.exe
F:\WINDOWS\system32\ctfmon.exe
F:\Programme\Google\GoogleToolbarNotifier\1.2.1128 .5462\GoogleToolbarNotifier.exe
F:\Programme\DAEMON Tools Lite\daemon.exe
F:\WINDOWS\system32\wscntfy.exe
F:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe
F:\Programme\NETGEAR\WPNT121\WPNT121.exe
F:\Programme\Internet Explorer\iexplore.exe
F:\WINDOWS\System32\svchost.exe
F:\Programme\Internet Explorer\iexplore.exe
F:\Programme\Trend Micro\HijackThis\HijackThis.exe
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - f:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [WPNT121] C:\Program Files\NETGEAR\WPNT121\WPNT121.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [pccguide.exe] "F:\Programme\Trend Micro\Internet Security 2007\pccguide.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] F:\Programme\Google\GoogleToolbarNotifier\1.2.1128 .5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "F:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Lite] "F:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/...an_unicode.cab
O23 - Service: Google Updater Service (gusvc) - Google - F:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Inc. - F:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: Trend Micro Protection Against Spyware (PcScnSrv) - Trend Micro Inc. - F:\PROGRA~1\TRENDM~1\INTERN~1\PcScnSrv.exe
O23 - Service: PnkBstrA - Unknown owner - F:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Inc. - F:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - F:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - F:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
--
End of file - 4128 bytes





Ja, IE7 und Service Pack 3 muss ich noch installieren, hatte neu aufgesetzt und dachte mir dass PC Cillin als Schutz kurzzeitig auch ohne IE7 und SP3 ausreichen müsste...

Womit soll ich noch nach möglichen Übeltätern scannen?



Bitte um baldige Hilfe,

lg Flo

[bully]

Unter www.hijackthis.de kannst dein Logfile auswerten lassen, ich habe das einmal für dich erledigt, schaut "clean" aus.

lg
bully

[Athon]

Dort habe ich mein Logfile auswerten lassen, aber nur weil es dort clean aussieht, heisst das noch lange nicht, das mein System auch wirklich sauber ist, oder?

Ich habe nämlich immernoch Probleme...

Wenn ich z.B. Battlefield 2 starten möchte dauert das länger als gewöhnlich, das Beitreten eines Servers dauert ebenfalls ewig und sobald ich dann spiele hängt sich der PC nach kurzer Zeit (1-5 Sekunden) auf...

Das funktionierte gestern (als ich mir den Virus einfing) allerdings noch ohne Probleme...

[mopok]

Hast Du schon einen aktuellen Virenscanner über dein Sys scannen lassen, was sonst noch alles infiziert ist und gesäubert gehört?

[bully]

Zitat:

Zitat von Athon

Wenn ich z.B. Battlefield 2 starten möchte dauert das länger als gewöhnlich, das Beitreten eines Servers dauert ebenfalls ewig und sobald ich dann spiele hängt sich der PC nach kurzer Zeit (1-5 Sekunden) auf...

Nun, das Hijackthis clean ausschaut, und die anderen Proggis auch nichts finden heisst ja wirklich nicht, das alles rund läuft. Meine Erfahrung mit solchen Fällen ist (leider) häufig, das ein stabiles, rund laufendes System nach einer Infektion nur mit einem Befehl erzeugt werden kann: format c:, BS neu aufsetzen. Geht wahrscheinlich schneller als die Fehler zu suchen. Spiel dir alle Daten runter (Favoriten/Mails/Adressbuch nicht vergessen) und setz neu auf. Spart Zeit und Nerven.

lg
bully

[Athon]

Ja, habe PC-Cillin und das Windows Tool zum entfernen bösartiger Software drüberlaufen lassen und alles bereinigt...

[Athon]

Eine andere Möglichkeit gibts nicht?

[mopok]

Hm, lass mal von Symatec oder von Kaspersky einen Online Virenscanner drüber laufen, ober die noch was finden.

Ev. kann die Spybot helfen.

[Athon]

Spybot fand 3 verfolgende Cookies und den Trojaner Virtumonde.prx

Mal sehen was Kaspersky nun sagt..

[alexxtwentyeight]

Hy!
Hab grad auch so einen Rechner reinbekommen und folgende Anleitung gfunden.
http://forum.hijackthis.de/showthread.php?t=25728
Vielleicht hilfts Dir ja weiter.
Grüße,
Alexx