Thema: Trojaner: TR/PSW.Wow.rtv brauche hilfe

Hi, als ich vorhin den PC angemacht hab kamen mir gleich 11 (!) Virusmeldungen von Avira entgegen, die alle auf den selben Virus (TR/PSW.Wow.rtv) hinweisen. Ich habe ihn gleich in Quarantäne verschoben und gelöscht, jedoch bekomme ich immer wieder Virusmeldungen. Über Google hab ich nen Thread im offiziellen WoW Forum gefunden, in dem es um diesen Trojaner geht, allerdings habe ich dort nur rausgefunden, dass ich mal Hijackthis drüberlaufen lassen soll und die Datei mal bei Virustotal hochladen soll. Hab ich gemacht, nur werde ich aus den Ergebnissen nicht schlau... ich poste die Ergebnisse mal hier und hoffe ihr könnt mir helfen

Spoiler öffnen

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:28:39, on 03.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Google\Update\1.2.183.7\GoogleCrashHandler.exe
C:\WINDOWS\system32\libusbd-nt.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\RapidSolution\Scramby\ScrambyServer.exe
C:\Programme\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Programme\Compact Wireless-G USB Adapter Wireless Network Monitor\WLService.exe
C:\Programme\Linksys\WUSB54GSC\WLService.exe
C:\Programme\Compact Wireless-G USB Adapter Wireless Network Monitor\WUSB54GC.exe
C:\Programme\Linksys\WUSB54GSC\WUSB54GSC.exe
C:\Programme\AlienGUIse\wbload.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\TBPanel.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Steam\Steam.exe
C:\Programme\Curse\CurseClient.exe
C:\Programme\ClipMemAdvanced\clipmem.exe
C:\Programme\Stardock\ObjectDock\ObjectDock.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Avira\AntiVir Desktop\avscan.exe
C:\Programme\Avira\AntiVir Desktop\avscan.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Programme\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg. dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Programme\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe " /c
O4 - HKCU\..\Run: [CurseClient] C:\Programme\Curse\CurseClient.exe -silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Clipmem Advanced.lnk = C:\Programme\ClipMemAdvanced\clipmem.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\Programme\Stardock\ObjectDock\ObjectDock.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/.../GAME_UNO1.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary...o.cab56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: wbsys.dll,C:\DOKUME~1\Daniel\LOKALE~1\Temp\35158kou.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c98de23cb90fba) (gupdate1c98de23cb90fba) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LibUsb-Win32 - Daemon, Version 0.1.10.1 (libusbd) - LibUsb-Win32 - C:\WINDOWS\system32\libusbd-nt.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: Scramby Server (ScrambyServer) - RapidSolution Software AG - C:\Programme\RapidSolution\Scramby\ScrambyServer.exe
O23 - Service: WUSB54GCSVC - GEMTEKS - C:\Programme\Compact Wireless-G USB Adapter Wireless Network Monitor\WLService.exe
O23 - Service: WUSB54GSCSVC - GEMTEKS - C:\Programme\Linksys\WUSB54GSC\WLService.exe
O23 - Service: Print Spooler Service (y3wayiatyezuizy) - Unknown owner - C:\WINDOWS\system32\kxyedm.exe (file missing)

--
End of file - 10828 bytes

Und das is der Link zur Virustotal Analyse
Virustotal. MD5: 673329742ee00c51f848ee2c1949cedc Heuristic.BehavesLike.Win32.Dropper.L a variant of Win32/PSW.WOW.NLR PWS:Win32/Wowsteal.AP.dll

Hatte das selbe problem bis vorhin - Einfach auf der Seite den Log eingegeben und dann die entsprechende Datei die diese Warnung auslöst gesucht (wird durch ein rotes X) markiert - Dann HiJackThis geöffnet - Diese entsprechende datei (am einfachsten einfach auf die Zahl im Bericht achten "01 C:\********" etc. achten) suchen und markieren. Dann "Fix it" oder "Fix Check" drücken

Anschliessend nochmal antivir laufen lassn...Bei mir hats geklappt

der virus kam bei mir von curse.com durch den flashplayer bzw die flash-werbung in form einer ****kou.dll im verzeichnis C:\Dokumente und Einstellungen\Enforcer\Lokale Einstellungen\Temp. konnte ihn nach avira meldung im temp verzeichnis direkt umbenennen um den zugriff einzuschränken aber löschen lassen hat er sich dann nich, die anderen ****kou.dll dateien die der virus gedropt hat ließen sich aber direkt problemlos löschen.

auf die ursprüngliche dll wurde der zugriff verweigert weil rund 10 meiner standart-systemtasks darauf zugriffen aber durch das umbenennen war er nach dem reboot unschädlich anstatt sich erneut zu starten und neue dll's zu droppen und konnte normal gelöscht werden. mit dem unlocker von Unlocker - Download lässt sich das zugriffsproblem in den griff kriegen um ihn löschen zu können, angeblich soll er in der registry noch nen eintrag versteckt haben den ich bisher nochnich gefunden hab der sich dann mit ner anti-malware software entfernen ließe und die sicherheitslücke über die er kam lässt sich durch updates des flashplayers stopfen wie man hier gut nachlesen kann Schwerwiegende Sicherheitslücke im Adobe Flash Player | Gefahr von Account-Hacks durch Trojaner | News | allvatar.com und Adobe - Security Bulletins: APSB09-10 Security Updates available for Adobe Flash Player, Adobe Reader and Acrobat

Hi,

Dein Logfile ist, bis auf einige alte, unwirksame Einträge ok, es können Fehlmeldungen von Avira sein, aber sicher bin ich auch nicht.

Es deutet darauf hin, daß eventuell! Deine WOW-Account gehackt wurde.

Lade Dir bitte Malwarebytes herunter und mache damit einen vollständingen Systemscan, lösche, was es findet. So ein Scan kann sehr lange dauern, rechne mit über einer Stunde. Wenn etwas nicht gelöscht werden kann, poste bitte diese Einträge hier.

Worry

Hi,

Dein Logfile ist, bis auf einige alte, unwirksame Einträge ok, es können Fehlmeldungen von Avira sein, aber sicher bin ich auch nicht.

Es deutet darauf hin, daß eventuell! Deine WOW-Account gehackt wurde.

Lade Dir bitte Malwarebytes herunter und mache damit einen vollständingen Systemscan, lösche, was es findet. So ein Scan kann sehr lange dauern, rechne mit über einer Stunde. Wenn etwas nicht gelöscht werden kann, poste bitte diese Einträge hier.

Ok danke, das werde ich mal machen. Zum Glück hab ich eh keine Charakter auf meinem WoW Account, weil ich alle gelöscht hab, weil ich bald komplett neu anfangen will, da geht wenigstens nichts verloren :P

EDIT: So nach einer Stunde und neun Minuten war der Scan fertig, abgeschlossen wurde er mit einem Neustart des Rechners und siehe da - keine einzige Virusmeldung von Avira . Ich stell trotzdem mal die Logfile hier rein, dass ihr nochmal drübergucken könnt, da ich, wie schon gesagt mit Logfiles nix anzufangen weiß

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2555
Windows 5.1.2600 Service Pack 3

04.08.2009 07:39:23
mbam-log-2009-08-04 (07-39-18).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 324075
Laufzeit: 1 hour(s), 9 minute(s), 42 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 24
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 18
Infizierte Dateien: 19

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\35158kou.dll (Spyware.OnlineGames) -> No action taken.

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{20ea9658-6bc3-4599-a87d-6371fe9295fc} (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{a16ad1e9-f69a-45af-9462-b1c286708842} (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{a7cddcdc-beeb-4685-a062-978f5e07ceee} (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{c9ccbb35-d123-4a31-affc-9b2933132116} (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\shoppingreport.hbax (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\shoppingreport.hbax.1 (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\shoppingreport.hbinfoband (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\shoppingreport.hbinfoband.1 (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\shoppingreport.iebutton (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\shoppingreport.iebutton.1 (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\shoppingreport.iebuttona (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\shoppingreport.iebuttona.1 (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\shoppingreport.rprtctrl (Adware.Shopping.Report) -> No action taken.
HKEY_CLASSES_ROOT\shoppingreport.rprtctrl.1 (Adware.Shopping.Report) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ext\Stats\{100eb1fd-d03e-47fd-81f3-ee91287f9465} (Adware.Shopping.Report) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ext\Stats\{c5428486-50a0-4a02-9d20-520b59a9f9b2} (Adware.Shopping.Report) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ Ext\Stats\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.Shopping.Report) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\ShoppingReport (Adware.Shopping.Report) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c5428486-50a0-4a02-9d20-520b59a9f9b2} (Adware.Shopping.Report) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.Shopping.Report) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe (Rogue.Installer) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion \Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\ShoppingReport (Adware.Shopping.Report) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{c5428486-50a0-4a02-9d20-520b59a9f9b2} (Adware.Shopping.Report) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{c5428486-50a0-4a02-9d20-520b59a9f9b3} (Adware.Shopping.Report) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken.

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\ShoppingReport (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\ShoppingReport\cs (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\ShoppingReport\cs\db (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\ShoppingReport\cs\dwld (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\ShoppingReport\cs\repor t (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\ShoppingReport\cs\res2 (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Florian Müller\Anwendungsdaten\ShoppingReport (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Florian Müller\Anwendungsdaten\ShoppingReport\cs (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Florian Müller\Anwendungsdaten\ShoppingReport\cs\db (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Florian Müller\Anwendungsdaten\ShoppingReport\cs\dwld (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Florian Müller\Anwendungsdaten\ShoppingReport\cs\report (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Florian Müller\Anwendungsdaten\ShoppingReport\cs\res1 (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Florian Müller\Anwendungsdaten\VideoEgg (Adware.VideoEgg) -> No action taken.
C:\Dokumente und Einstellungen\Florian Müller\Anwendungsdaten\VideoEgg\Loader (Adware.VideoEgg) -> No action taken.
C:\Dokumente und Einstellungen\Florian Müller\Anwendungsdaten\VideoEgg\Loader\4665 (Adware.VideoEgg) -> No action taken.
C:\Dokumente und Einstellungen\Florian Müller\Anwendungsdaten\VideoEgg\Publisher (Adware.VideoEgg) -> No action taken.
C:\Dokumente und Einstellungen\Florian Müller\Anwendungsdaten\VideoEgg\Publisher\4665 (Adware.VideoEgg) -> No action taken.
C:\Dokumente und Einstellungen\Florian Müller\Anwendungsdaten\VideoEgg\Updater (Adware.VideoEgg) -> No action taken.

Infizierte Dateien:
C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\ShoppingReport\cs\Confi g.xml (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\ShoppingReport\cs\db\Al iases.dbs (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\ShoppingReport\cs\db\Si tes.dbs (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\ShoppingReport\cs\dwld\ WhiteList.xip (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\ShoppingReport\cs\repor t\aggr_storage.xml (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\ShoppingReport\cs\repor t\send_storage.xml (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Daniel\Anwendungsdaten\ShoppingReport\cs\res2\ WhiteList.dbs (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\35158kou.dll (Spyware.OnlineGames) -> No action taken.
C:\Dokumente und Einstellungen\Florian Müller\Anwendungsdaten\ShoppingReport\cs\Config.xml (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Florian Müller\Anwendungsdaten\ShoppingReport\cs\db\Aliases.dbs (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Florian Müller\Anwendungsdaten\ShoppingReport\cs\db\Sites.dbs (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Florian Müller\Anwendungsdaten\ShoppingReport\cs\dwld\WhiteList.xip (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Florian Müller\Anwendungsdaten\ShoppingReport\cs\report\aggr_storag e.xml (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Florian Müller\Anwendungsdaten\ShoppingReport\cs\report\send_storag e.xml (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Florian Müller\Anwendungsdaten\ShoppingReport\cs\res1\WhiteList.dbs (Adware.Shopping.Report) -> No action taken.
C:\Dokumente und Einstellungen\Florian Müller\Anwendungsdaten\VideoEgg\Loader\4665\npvideoegg-loader.dll (Adware.VideoEgg) -> No action taken.
C:\Dokumente und Einstellungen\Florian Müller\Anwendungsdaten\VideoEgg\Uninstall.exe (Adware.VideoEgg) -> No action taken.
C:\Dokumente und Einstellungen\Florian Müller\Anwendungsdaten\VideoEgg\Updater\VideoEggBroker.exe (Adware.VideoEgg) -> No action taken.
C:\Programme\setup.exe (Rogue.Installer) -> No action taken.

Hi,

dankeschön für das Logfile. Meiner Meinung nach ist Dein Rechner sauber und es waren in der Tat Fehlalarme, die noch als "infizierte Dateien" gemeldet werden.

Magst Du bitte, nur zur Sicherheit Spybot S&D durchlaufen lassen, bitte vorher ein Update damit machen. Wenn es was findet, auch bitte löschen.

Schön wäre aber, wenn jemand anders nochmals über Dein letztes Logfile schaut, falls ich mich irre, diese Trojanermeldung ist für mich neu.

Ok, hab Spybot laufenlassen, der hat nochmal 52 Probleme gefunden, aber 40 oder so war nur Adware, also nix wirklich schädliches... komisch, dass ich mit soviel Adware trotzdem nie irgendwo Werbung hab

C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\35158kou.dll (Spyware.OnlineGames) -> No action taken.

Da ist die wichtige Stelle. Er hat bei dir nichts unternommen?

Bei mir steht es so:

Infizierte Speichermodule:
C:\Dokumente und Einstellungen\Name\Lokale Einstellungen\Temp\1717kou.dll (Spyware.OnlineGames) -> Delete on reboot.

Infizierte Dateien:
C:\Dokumente und Einstellungen\Name\Lokale Einstellungen\Temp\1717kou.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.

Ich hoffe, dass dieses verfluchte Ding jetzt weg ist, aber ich lasse alles lieber nochmal drüberlaufen

Unregistriert

C:\Dokumente und Einstellungen\Daniel\Lokale Einstellungen\Temp\35158kou.dll (Spyware.OnlineGames) -> No action taken.

Da ist die wichtige Stelle. Er hat bei dir nichts unternommen?

Bei mir steht es so:

Infizierte Speichermodule:
C:\Dokumente und Einstellungen\Name\Lokale Einstellungen\Temp\1717kou.dll (Spyware.OnlineGames) -> Delete on reboot.

Infizierte Dateien:
C:\Dokumente und Einstellungen\Name\Lokale Einstellungen\Temp\1717kou.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.

Ich hoffe, dass dieses verfluchte Ding jetzt weg ist, aber ich lasse alles lieber nochmal drüberlaufen

Ja der Log war von vor dem Reboot Nahc dem Reboot wars gelöscht.

Könnt sich bitte jemand mein LogFile ansehen...

Ich hatte diesen 36135kou.dll aka TR/PSW.Wow.rtv auch auf dem Rechner.

Hatte Ihn mit unlocker im abgesicherten Modus gestern gelöscht, allerdings hatte HiJack This
heute morgen trotzdem noch ein File im Log drin -muss ich gestern wohl übersehen haben-

Ich hab diese File in quarantene gepackt und bin nachher unter HiJAack This auf "view list of backups" gegangen, da war der 36135kou.dll dann auch wieder drin und irgenwie -.- geht der da trotz löschen auch nicht raus :-(

Was soll ich tun? Ich bekomm den da nicht raus -.-

Hier der LogFile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0705, on 05.08.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Unlocker\UnlockerAssistant.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Microsoft Windows Update
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll (file missing)
O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Programme\Unlocker\UnlockerAssistant.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1236416492311
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 7526 bytes



Kann mir da jemand helfen?

Hi,

danke, daß Du gleich ein Logfile mit angehängt hast, das erleichtert die Sache ungemein, aber das Logfile ist sauber.

Lade Dir bitte Malwarebytes herunter, mache damit einen vollständigen Systemscan und lösche, was es findet. Anschließend lade Dir noch Spybot S&D herunter, mache damit bitte ein Update, wichtig!, und auch einen vollständigen Systemscan.


Falls dann noch was an Schädlingen da sein sollte, poste es bitte, wir sehen dann weiter.

Diese ganzen Scans können bis zu zwei Stunden dauern.

Hallo Worry,

danke für die Tipps. Dalso bei Spybot kommen immer nur so Cookies die ich dann entfernen kann.

bei Maleware hab ich dass ergebniss:

Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2573
Windows 5.1.2600 Service Pack 3

07.08.2009 10:10:36
mbam-log-2009-08-07 (10-10-36).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|)
Durchsuchte Objekte: 161423
Laufzeit: 43 minute(s), 48 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Hab jetzt noch Vipre runtergeladen, da kommen auch keine Meldungen mehr.

Lediglich AntiVir findet immer mal wieder einen Trojaner, zwar nicht mehr TR/PSW.Wow.rtv
aber dafür TR/Trash.Gen den hab ich über Antivir gelöscht -hoff ich-

Hi,

danke für das erneute Logfile, es sieht gut aus.

Lade doch bitte den "TR/Trash.Gen", sofern er noch da ist, hier hoch und poste das Ergebins, mal schauen, was es damit genau auf sich hat.