[Windows XP-64 bit] Laptop mit Wurm Win32/Bagle.gen.zip befallen

[Guel]

Logfile von HiJackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:46:02, on 25.01.2012
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVAST Software\Avast\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\IObit\Advanced SystemCare 4\PMonitor.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\IObit\IObit Malware Fighter\IMFsrv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Programme\BillP Studios\WinPatrol\winpatrol.exe
C:\Programme\AVAST Software\Avast\avastUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\IObit\Advanced SystemCare 4\ASCTray.exe
C:\Programme\IObit\Advanced SystemCare 4\ASCService.exe
C:\Programme\EasyVoipRecorder\EasyVoipRecorderService.exe
C:\WINDOWS\system32\FsUsbExService.Exe
C:\Programme\iolo\Common\Lib\ioloServiceManager.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iolo\System Mechanic\SMTrayNotify.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\Skype\Phone\Skype.exe
D:\TweetDeck\TweetDeck.exe
C:\Programme\Opera\opera.exe
C:\WINDOWS\system32\freecell.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\SparVoip\SparVoip.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http ://runonce.msn.com/?v=msgrv75
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: (no name) - {B922D405-6D13-4A2B-AE89-08A030DA4402} - (no file)
R3 - URLSearchHook: (no name) - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Download Manager Browser Helper Object - {19C8E43B-07B3-49CB-BFFC-6777B593E6F8} - C:\PROGRA~1\GEMEIN~1\fluxDVD\DOWNLO~1\XEBDLH~1.DLL
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Programme\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Programme\AVAST Software\Avast\aswWebRepIE.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [WinPatrol] C:\Programme\BillP Studios\WinPatrol\winpatrol.exe -expressboot
O4 - HKLM\..\Run: [avast] "C:\Programme\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\WINDOWS\TEMP\E_S61.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [SparVoip] "C:\Programme\SparVoip\SparVoip.exe" -nosplash -minimized
O4 - HKCU\..\Run: [Advanced SystemCare 4] "C:\Programme\IObit\Advanced SystemCare 4\ASCTray.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: Dropbox.lnk = C:\Dokumente und Einstellungen\JUTTA\Anwendungsdaten\Dropbox\bin\Dropbox.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Dropbox.lnk = C:\Dokumente und Einstellungen\JUTTA\Anwendungsdaten\Dropbox\bin\Dropbox.exe (User 'Default user')
O4 - Startup: Dropbox.lnk = C:\Dokumente und Einstellungen\JUTTA\Anwendungsdaten\Dropbox\bin\Dropbox.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Visit in &3D using ExitReality - ExitReality
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} - http://http : //hellsehenmagietantra...d/MsnPUpld.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https: //fpdownload.macromedia.com/p...sh/swflash.cab
O16 - DPF: {DE625294-70E6-45ED-B895-CFFA13AEB044} (AxisMediaControlEmb Class) - http : //82.135.124.180/activex/AMC.cab
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} -
O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} - http://https : //secure.logmein.com/...rl.cab?lmi=100
O23 - Service: Advanced SystemCare Service (AdvancedSystemCareService) - IObit - C:\Programme\IObit\Advanced SystemCare 4\ASCService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - AVAST Software - C:\Programme\AVAST Software\Avast\AvastSvc.exe
O23 - Service: EasyVoipRecorder - Unknown owner - C:\Programme\EasyVoipRecorder\EasyVoipRecorderService.exe
O23 - Service: FsUsbExService - Teruten - C:\WINDOWS\system32\FsUsbExService.Exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Update-Dienst (gupdatem) (gupdatem) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: IMF Service (IMFservice) - IObit - C:\Programme\IObit\IObit Malware Fighter\IMFsrv.exe
O23 - Service: iolo System Service (ioloSystemService) - iolo technologies, LLC - C:\Programme\iolo\Common\Lib\ioloServiceManager.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 7275 bytes

[WhiteKnight]

Hallo

Hinweis: SP 3 fehlt und IE 9

Meldet Avast was? Poste das mal.

Und Phase II durchführen und hier einstellen
Anleitung zum Löschen von Viren / Thread erstellen

[Guel]

Malwarebytes Anti-Malware 1.60.0.1800
Malwarebytes : Free anti-malware, anti-virus and spyware removal download

Datenbank Version: v2012.01.24.02

Windows XP Service Pack 2 x86 NTFS
Internet Explorer 6.0.2900.2180
JUTTA :: JUTTA-LAPTOP [Administrator]

25.01.2012 18:58:45
mbam-log-2012-01-25 (18-58-45).txt

Art des Suchlaufs: Vollständiger Suchlauf
Aktivierte Suchlaufeinstellungen: Speicher | Autostart | Registrierung | Dateisystem | Heuristiks/Extra | HeuristiKs/Shuriken | PUP | PUM
Deaktivierte Suchlaufeinstellungen: P2P
Durchsuchte Objekte: 235882
Laufzeit: 1 Stunde(n), 19 Minute(n), 51 Sekunde(n)

Infizierte Speicherprozesse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel: 0
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung: 0
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse: 0
(Keine bösartigen Objekte gefunden)

Infizierte Dateien: 1
C:\Dokumente und Einstellungen\JUTTA\Lokale Einstellungen\Anwendungsdaten\Opera\Opera\cache\g_0010\opr001LB.tmp (Trojan.Agent) -> Erfolgreich gelöscht und in Quarantäne gestellt.

(Ende)

[Guel]

Nö, Avast, diese hirnlose Ding meldet überhaupt nichts! SP3 ...tja, da hab ich zwar ne CD...aber die wollte er nicht nehmen.

[Guel]

Hab jetzt combofix gemacht nach Anleitung. Zwischendrin ist der Läppi abgeschmiert und wieder hoch gefahren aber kein Logfile.Und nun?

[Guel]

Es kommen immer wieder die Meldungen von meinem Überwachungsprogramm zur Dateiverknüpfung. Hat sich also noch nichts geändert

[Guel]

C:\System Volume Information\_restore{DA3F470C-990C-4BE6-AB80-FD6AFA07A34B}\RP608\A0394133.exe Win32/Adware.WhenU.SaveNow Anwendung gelöscht - in Quarantäne kopiert
C:\System Volume Information\_restore{DA3F470C-990C-4BE6-AB80-FD6AFA07A34B}\RP608\A0394134.exe Win32/Adware.Toolbar.Dealio Anwendung gelöscht - in Quarantäne kopiert
C:\System Volume Information\_restore{DA3F470C-990C-4BE6-AB80-FD6AFA07A34B}\RP608\A0394135.exe möglicherweise Variante von Win32/Adware.Toolbar.Dealio Anwendung Gesäubert durch Löschen - in Quarantäne kopiert
C:\System Volume Information\_restore{DA3F470C-990C-4BE6-AB80-FD6AFA07A34B}\RP608\A0394136.exe Variante von Win32/Adware.Toolbar.Dealio Anwendung Gesäubert durch Löschen - in Quarantäne kopiert
C:\System Volume Information\_restore{DA3F470C-990C-4BE6-AB80-FD6AFA07A34B}\RP608\A0394137.dll Variante von Win32/Adware.Toolbar.Dealio Anwendung Gesäubert durch Löschen - in Quarantäne kopiert

[WhiteKnight]

Hallo

Zuerst mal die XP Systemwiederherstellung
zuerst deaktivieren, warte ein paar Sekunden, dann wieder aktivieren

Schau nun mal nach: c:\combofix.txt Dieses hier einstellen.

[Guel]

Hallo,

nee, also das macht er mir nicht. Jedenfalls nicht nach der Anleitung. Ein erneuter Suchlauf mit Malwarebytes ergab 0 Treffer. Es kommt aber immer noch die Meldung von WinPatrol, daß NOTEPAD.exe von Microsoft auf ne andere Endung von COMPANY dateiverknüpft werden will.

Lieben Gruß
Gül

[AHT]

Schau mal nach, ob du einen Ordner C:\Qoobox findest und darin eine Datei ComboFix-quarantined-files.txt - kann auch etwas anders heißen.

[AHT]

Danach einmal das hier tun:

• Von hier den PPFScanner herunterladen und die ZIP in einen eigenen Ordner entpacken (zum Beispiel nach C:\PPFS).
• Danach die PPFScan.exe starten.
• Klicke im PPFScanner oben links auf den Menüpunkt Programm, es öffnet sich dann ein Untermenü.
• Wähle im Untermenü Script laden und ausführen.
• Du hast dann im daraufhin erscheinenden Dialog die Möglichkeit, durch die Ordner zu browsen und eine Datei auszuwählen. Wähle hier die Datei Erweiterter Scan.scp aus, die sich im PPFScanner Ordner befindet, klicke dann auf Öffnen und bestätige die erscheinende Messagebox mitJa.
• Nach dem Scan beendet sich der Scanner. Es befinden sich dann im Ordner C:\PPF_Scan1 einige Text-Dateien. Lade bitte alle Dateien, die du dort findest, bei File-Upload.net - Ihr kostenloser File Hoster! hoch und poste die Downloadlinks hier.

[Guel]

Den Ordner gibt es aber nicht in Verbindung mit Combofix und auch keine .txt Datei darin, nur eine Registrierungsdatei

[AHT]

OK, dann ist Combofix nicht weit gekommen. Einmal PPFScanner ausführen, wie oben beschrieben.

[Guel]

PPF Scan ist stecken geblieben Bei Windows/system32 Ordner

[AHT]

Warten, dauert etwas. So lange der rote Punkt blinkt, steckt nichts fest.