hexe

Hallo an Alle,

ich hatte letzte Woche einen Trojaner Namens Win32Walivun auf dem Rechner.Mit Avast gelöscht
Als Ort wurde mir angeben C:\Dokumente und Einstellungen\Tomas\Anwendungsdaten\Macromedia\Common.
Ordner Common gelöscht, avast suchen lassen, Spybot suchen lassen, nix, alles in Ordnung.

Heute schaue ich aus Zufall in den Avast Container und sehe, das ich am selben Tag 2 Trojaner hatte.
Der zweite hiess Win32Riern-I und als Ort wurde der selbe wie bei dem den ich gelöscht hatte, angeben
C:\Dokumente und Einstellungen\Tomas\Anwendungsdaten\Macromedia\Commo\3ae8c00c19.exe.

Habe jetzt noch mal nach der exe-Datei gesucht und nicht gefunden.

Weiss jemand ob ich die beiden wirklich los bin (hatte ja auch keinen Alarm mehr seit letzter Woche), soll ich noch mit irgendwas suchen. Oder muss ich Format C anwenden??

Wäre dankbar um Antworten

Hexe

hexe

Muss das Logfile extra posten:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:43:33, on 07.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\winlogon.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\..........Bytes\VirtualCloneDrive\VCD Daemon.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Logitech\QuickCam\Quickcam.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\PROGRA~1\OfficeKB\OfficeKB.EXE
C:\PROGRA~1\OfficeKB\KPDrv4XP.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger .exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\Programme\Alwil Software\Avast4\ashSimpl.exe
C:\Programme\Java\jre6\bin\jucheck.exe
C:\Programme\Alwil Software\Avast4\ashChest.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\Hallo.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com/?o=13166&l=dis
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2
- BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -
C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2
- BHO: Groove GFS Browser Helper -
{72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft
Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live
Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} -
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows
Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2
- BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C}
- C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\..........Bytes\VirtualCloneDrive\VC DDaemon.exe" /s
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe "
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [OfficeKB] C:\PROGRA~1\OfficeKB\OfficeKB.EXE
O4 - HKLM\..\Run: [KPDrv4XP] C:\PROGRA~1\OfficeKB\KPDrv4XP.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger .exe
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-21-1202660629-1364589140-725345543-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Tomas')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4
- HKUS\S-1-5-18\..\RunOnce: [WUAppSetup] C:\Programme\Gemeinsame
Dateien\logishrd\WUApp32.exe -v 0x046d -p 0x08d7 -f video -m logitech
-d 11.5.0.1145 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4
- HKUS\.DEFAULT\..\RunOnce: [WUAppSetup] C:\Programme\Gemeinsame
Dateien\logishrd\WUApp32.exe -v 0x046d -p 0x08d7 -f video -m logitech
-d 11.5.0.1145 (User 'Default user')
O4 - S-1-5-18 Startup: Mozilla Sunbird.lnk = C:\Programme\Mozilla Sunbird\sunbird.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Mozilla Sunbird.lnk = C:\Programme\Mozilla Sunbird\sunbird.exe (User 'Default user')
O4 - Startup: Mozilla Sunbird.lnk = C:\Programme\Mozilla Sunbird\sunbird.exe
O4
- Global Startup: Logitech Desktop Messenger.lnk =
C:\Programme\Logitech\Desktop
Messenger\8876480\Program\LogitechDesktopMessenger .exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8
- Extra context menu item: Save YouTube Video as MP3 -
res://C:\Programme\Gemeinsame
Dateien\DVDVideoSoft\Dll\IEContextMenuY.dll/scriptY2MP3.htm
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9
- Extra 'Tools' menuitem: An OneNote s&enden -
{2670000A-7350-4f3c-8081-5663EE0C6C49} -
C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9
- Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration -
{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} -
C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9
- Extra 'Tools' menuitem: @xpsp3res.dll,-20001 -
{e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network
Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16
- DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://www.update.microsoft.com/wind...?1196079673421
O16
- DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object)
- http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O18
- Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} -
C:\Programme\Logitech\Desktop
Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol:
grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} -
C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe

--
End of file - 9934 bytes


Danke schön

Leonixx

Hi,

es gibt einige merkwürdige Einträge, die nicht so sauber sind. Könnte auch ein Rootkit gewesen sein, dass auf deinem System war. Der Rootkit hat gleich noch weitere Trojaner nachgeladen.

Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} --
BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C}-
HKUS\S-1-5-18\..\RunOnce: [WUAppSetup] C:\Programme\Gemeinsame-
HKUS\.DEFAULT\..\RunOnce: [WUAppSetup] C:\Programme\Gemeinsame-d 11.5.0.1145 (User 'Default user')

Um mal tiefer in das System zu schauen, solltest du Combofix anwenden, wie im Link in meiner Signatur. Bitte genau die Anleitung lesen. Poste das Logfile. Nicht wundern, Combofix startet nach dem Scan den Rechner neu und braucht ne Weile um das Logfile zu erstellen. Das Logfile hier als Anhang einfügen.

hexe

Hallo Leonixx

Ich danke dir für deine schnelle Antwort. Ich werde Combofix anwenden und das Logfile dann posten.

Kann aber nen Moment dauern, bin Mama und meine Tochter springt um mich rum arty:

LG Hexe

Leonixx

Ja Ok, keine Hektik, die Kiddies gehen vor. Akute Gefahr sehe ich im Moment nicht. Genauere Prüfung ist aber besser, damit man auch versteckte Schädlinge findet.

hexe

Hallo,

das ist gut, wegen der Kidds. Kann das dann auch nicht in Ruhe machen. Weil immer gefragt wird: Mama wann biste fertig? :skeptisch:

Habe mir mal die Beschreibung von dir durchgelesen und noch ein paar Fragen, bevor ich anfange.

Muss ich CCleaner oder CleanUp drüberlaufen lassen?
Habe den nicht installiert und auch noch nie benutzt, weil ich immer Angst hab, der cleant mir irgendwas, was fürs System wichtig ist.

Was heisst es 1/100 Rechner kommen nicht durch den Desinfizierungsprozess?
Muss ich eine Datensicherung machen, weil danach evtl. alle Datein vom Rechner runter sind? Würden alle Laufwerke dabei beschädigt?

Ich würde dir dann irgendwann morgen das Logfile posten, da is Töchterchen in der Schule. :thumbsup:

Ich danke noch mal.

Hexe

Leonixx

Hi, Ccleaner ist ein Programm das in der Grundeinstellung total harmlos ist. Da gibt es garantiert null Probleme. Kannst du auf jeden Fall benutzen.

Die Meldung ist eine Standardanzeige von Combofix. Habe mittlerweile mindestens 50 mal empfohlen, ohne das jemals ein Rechner Probleme hatte. Da brauchst du keine Bedenken haben. Datensicherung ist aber grundsätzlich immer ratsam. Dein Rechner hatte ja einen Trojaner. Da würde ich auf jeden Fall mal schleunigst die Daten sichern.

Wenn du zwei Partitionen hast (Laufwerke) und deine Daten nicht auf dem Laufwerk liegen, wo Windows installiert ist, kann nichts passieren.

hexe

Hallo,

ich wollte gerade anfangen den CCleaner zu installieren. Da steht jedoch, bevor ich ihn benutze soll ich die Temponären Internetdatein löschen.

- Ich hab Firefox, ich lösche das doch unter Extras-Internetoptionen, oder?
- Befinden sich auf meinem Rechner noch irgendwo Datein die ich löschen muss, bevor ich den Cleaner starte?
- Kann ich die Cookies stehen lassen?
- Ich habe auf meinem Rechner verschiedene Benutzerkonten eingerichtet, muss ich von jedem einzelnen die Temponären Internetdatein löschen?

Ich bedanke mich im Vorraus :P

Wollte noch sagen, meine Daten liegen nicht auf der Partion wo Windows sich befindet, deshalb hatte ich dich gefragt.
Bin echt froh, wenn die relativ sicher sind.

Hexe

julchri

Hallo,

hast Du den CCleaner schon installiert?.
Mach ihn mal auf, da kannst Du die verschiedenen Funktionen sehen. Die Cookies kann man behalten, Einstellungen>Cookies.

Ansonsten macht eigentlich der CCleaner alles, auch die temporären Internetdateien.
Aber das mit Firefox stimmt.

hexe

Hallo Julchri,

Ich danke dir für deine Antwort.

Ich fange jetzt an, poste dann dann Combofix-Logfile oder melde mich bei Fragen noch mal.

Na eine hätte ich noch, um Combofix anzuwenden muss ich u.a. alle Hintergrundwächter abschalten. Gibts sowas bei Ad-Aware?

Danke hexe