Zugang zu einer potentiell gefährlichen Website erfolgreich gestoppt...

[icke619]

Hallo, ich habe ein dickes Problem und zwar (schätze ich) habe ich mir über Facebook einen bösen Virus zugezogen. Fast sekündlich erscheint durch die Installation des Programms Malware Bytes diese Meldung: Zugang zu einer potenziell gefährlichen Webseite erfolgreich gestoppt: (hier steht eine IP Adresse die stetig wechselt.) Art: Abgehend.
Mein Video dazu gibt es hier: Hilfe, mein PC ist krank - YouTube

Anbei poste ich mal alle Logfiles die ich so habe.
Hijack:


Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17:10:20, on 13.10.2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\OpenOffice.org 3\program\soffice.exe
C:\Programme\OpenOffice.org 3\program\soffice.bin
C:\WINDOWS\system\Cm106eye.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Firefox\plugin-container.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\AVAST Software\Avast\AvastSvc.exe
C:\Programme\AVAST Software\Avast\AvastUI.exe
C:\WINDOWS\System32\vssvc.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\svchost.exe
C:\Dokumente und Einstellungen\Garten-Productions\Eigene Dateien\Downloads\HiJackThis204.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Kanal von 20mantis08 - YouTube
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll (file missing)
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Cm106Sound] RunDll32 cm106.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKLM\..\Run: [avast] "C:\Programme\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.3.lnk = C:\Programme\OpenOffice.org 3\program\quickstart.exe
O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Dokumente und Einstellungen\Garten-Productions\Anwendungsdaten\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Programme\AVAST Software\Avast\AvastSvc.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Programme\Malwarebytes' Anti-Malware\mbamservice.exe

--
End of file - 4879 bytes


Hijackthis zeigt nach der Onlineauswertung keine Probleme aber sie sind ja ganz unverkennbar da.

[AHT]

• PPFScan.exe starten.
• Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
• Wähle im Untermenü Script laden und ausführen.
• Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa.
• Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

Der Scan dauert etwa 40Minuten.

[icke619]

danke für die hilfe. habe zwischenzeitich hardcore mit avast und malware bytes gescannt. ohne erfolg.
dann hab ich spybot geladen und probiert, das hat einige schädlinge gefunden und hoffentlich entfernt.
aktuell erscheint kein angriff in der taskleiste. ich hatte während diesen vorgangs die leitung gekappt sodass wirklich nichts von draussen mitmischen konnte.
nochma gerade gescannt, keine viren.
ich hoffe das bleibt so, wenn nich probiere ich deinen tipp

trotzdem danke.

[AHT]

Ist dein Problem.
Was hat SpyBot denn gefunden? Vielleicht kann ich dir dann auch sagen, ob dein Problem überhaupt beseitigt ist?

[AHT]

Zu deiner Frage: Das was du dir eingefangen hast, war mit großer Sicherheit ein Trojan Downloader (lädt Viren nach) oder Backdoor.
Da selbst unsere Bundesregierung nicht so dumm ist, einen Trojaner ohne Fernsteuerfunktion bauen zu lassen, geh erst mal von einem Backdoor aus.
Im Prinzip kannst du also davon ausgehen, das dir bereits Daten vom Rechner gestohlen wurden.

[icke619]

das ist natürlich äusserst schlecht.^^
was mach ich nun? passwörter ändern überall?
ich hab gehört das sie was an viren integriert haben könnten die den passwortwechsel verfolgen und dann sind die accounts weg

[AHT]

Erst mal sicher gehen, dass das Ding weg ist. Danach Passwörter ändern (EBAY, EMAIL,...).
Wenn du das Gerät gewerblich nutzt, suche dir für die Bereinigung einen Experten. Hilfe im Netz möchtest du ja scheinbar eigentlich nicht.

[icke619]

so, hab nochma gesucht. wieder funde mit avast. ich wechsle zwischen avast und anti vir. spybot und malware geben bisher keine ergebnisse zum besten. scheint jedes prog seine schwächen zu haben.

diese viren wurden nun gefunden:
Win32:Injector-Ack(Trj) (insgesamt in 3 verschied. Datein.)
Win32:JSDownloader-BBA (Trj.)

wie ist der aktuelle stand jetz? habe die in container verschoben und dort gelöscht.
die einblendung wie die im video zusehen ist erscheint bisher nicht mehr.

[AHT]

Das hier tun:

• PPFScan.exe starten.
• Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
• Wähle im Untermenü Script laden und ausführen.
• Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mit Ja.
• Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

Nicht auf eigene Faust irgendwas scannen oder löschen! Poste diee LOGs von den Scannern hier und deinstalliere alle Scanner, bis auf AntiVir und MalwarteBytes!

[icke619]

da steht das das ausführen gefährlich sein kann.

[AHT]

Das steht da, damit du keine eigenen Scripte schreibst, ohne Ahnung davon zu haben. Das Text ist von mir.

[icke619]

ich mach das grade. da sind haufen ordner oben in der leiste zu sehen. wie soll ich das denn alles hochladen oder kommt am ende ein zusammenhängender bericht?

[AHT]

Beendet sich der PPFScanner, öffnet sich der Explorer mit einem bestimmten Ordner. Dort sind 14 Textdateien drin, die brauche ich. Es dauert etwa 40 Minuten, bis sich der Scanner beendet.

[AHT]

Es fehlen noch die Scanreporte der anderen Scanner (SpyBot, Avast, AntiVir).
Was du von den Reporten noch hast, ebenfalls bei http://www.file-upload.net/ hochladen und Downloadlinks hier posten.

[AHT]

Avast deinstallieren, der behindert AntiVir beim scannen.

• Combofix herunterladen, auf dem Rechner auf dem Desktop abspeichern und ausführen.
• Den GUARD deines Virenscanners vorher stoppen (Internet vorher ebenfalls trennen).
• Warten, bis Combofix fertig ist - solange nichts am Rechner machen.
  LOG von Combofix (wird zum Schluss angezeigt) abspeichern, wieder hochladen und Link per PM posten.

Die LOGs kannst du löschen, habe ich abgespeichert.