Hallo, ich habe ein riesen Problem, ich habe mir wohl Malware und Trojaner eingefangen ?

Mittlerweile bin ich ein wenig weiter, nachdem ich in Trojaner-board ein Thread aufgemacht habe aber noch keine antwort bekam seit fast 2 Tagen, dacht ich, schreibe ich mal hier rein um evtl Unterstützung zu bekommen. Würde mich sehr freuen.

Ich habe folgende Logs: Hijackthis und antimalwarebytes.

Spoiler:

Malwarebytes' Anti-Malware 1.46
Malwarebytes

Datenbank Version: 4299

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

10.07.2010 14:30:30
mbam-log-2010-07-10 (14-30-30).txt

Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 140240
Laufzeit: 4 Minute(n), 5 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 4
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 9

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{xq881j2h-07ya-wrbn-4p25-xn85w68vyevt} (Generic.Bot.H) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\hkcu (Trojan.VirTool) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\Explorer\Run\policies (Trojan.VirTool) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\hklm (Trojan.VirTool) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\Explorer\Run\policies (Trojan.VirTool) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINXP\system32\Winlog\Winlogon.exe (Generic.Bot.H) -> No action taken.
C:\Dokumente und Einstellungen\Chris\Eigene Dateien\downloads\SetupPoker_53ff8c.exe (Adware.Casino) -> No action taken.
C:\Dokumente und Einstellungen\Chris\Eigene Dateien\downloads\SetupPoker_53ff8c.exe~2MIE8QTE (Adware.Casino) -> No action taken.
C:\Dokumente und Einstellungen\Chris\Anwendungsdaten\logs.dat (Bifrose.Trace) -> No action taken.
C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Temp\IELOGIN.abc (Malware.Trace) -> No action taken.
C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Temp\MSN.abc (Malware.Trace) -> No action taken.
C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Temp\UuU.uUu (Malware.Trace) -> No action taken.
C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Temp\XxX.xXx (Malware.Trace) -> No action taken.
C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Temp\xxxyyyzzz.dat (Malware.Trace) -> No action taken.

Spoiler:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:05:35, on 10.07.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\ZoneLabs\vsmon.exe
C:\Programme\CheckPoint\ZAForceField\IswSvc.exe
C:\Programme\Avira\AntiVir ]\sched.exe
C:\Programme\CheckPoint\ZAForceField\ForceField.ex e
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Prio\prio_svc.exe
C:\WINXP\system32\svchost.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\WINXP\system32\wbem\wmiapsrv.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonito r.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINXP\system32\ctfmon.exe
C:\WINXP\system32\wscntfy.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Acronis\TrueImageHome\TrueImage.exe
C:\Programme\Avira\AntiVir Desktop\avcenter.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Acronis\TrueImageHome\TrueImageHomeNotify. exe
C:\Programme\Gemeinsame Dateien\Acronis\TrueImageHome\TrueImageHomeService .exe
C:\WINXP\system32\taskmgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: ZoneAlarm Toolbar Registrar - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Programme\CheckPoint\ZAForceField\TrustChecker\ bin\TrustCheckerIEPlugin.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O3 - Toolbar: ZoneAlarm Toolbar - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Programme\CheckPoint\ZAForceField\TrustChecker\ bin\TrustCheckerIEPlugin.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonito r.exe
O4 - HKLM\..\Run: [HKLM] C:\WINXP\system32\Winlog\Winlogon.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ISW] "C:\Programme\CheckPoint\ZAForceField\ForceFie ld.e xe" /icon="hidden"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [HKCU] C:\WINXP\system32\Winlog\Winlogon.exe
O4 - HKLM\..\Policies\Explorer\Run: [Policies] C:\WINXP\system32\Winlog\Winlogon.exe
O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\WINXP\system32\Winlog\Winlogon.exe
O4 - Startup: desktop.ini~DGMGB6NO
O4 - Global Startup: desktop.ini~M81FDT4H
O4 - Global Startup: desktop.ini~PLR8SLEG
O9 - Extra button: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.2 - {72EFBFE4-C74F-4187-AEFD-73EA3BE968D6} - C:\Programme\ICQ7.2\ICQ.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7B7EEE56-DF74-4D0B-B7CA-C15525CAED84}: NameServer = 213.191.92.87 62.109.123.6
O20 - AppInit_DLLs: prio.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Unknown owner - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Acronis Nonstop Backup service (afcdpsrv) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\CDP\afcdpsrv.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst ( ] Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: ZoneAlarm Toolbar IswSvc (IswSvc) - Check Point Software Technologies - C:\Programme\CheckPoint\ZAForceField\IswSvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Prio Service (prio_svc) - Unknown owner - C:\Programme\Prio\prio_svc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINXP\system32\ZoneLabs\vsmon.exe

--
End of file - 6839 bytes

Ich habe nun geschafft ein altes Image aufzuspielen via "Acronis image tool 2010"
Ich habe aber trotzdem das Gefühl dass der Pc lahmt, man sollte vorsichtshalter komplett formatieren, oder?


Aber wie soll ich formatieren, wenn mein Laufwerk nicht funktioniert, wenn ich eine CD reintu schmiert der E xplorer ab, kann es sein dass der Wurm meine ] dermaßen beschaedigt hat dass ich sie nicht mehr richtig nutzen kann ?

Er versucht sie wohl zu laden aber dazu kommts nicht, der arbeitsplatz haengt sich einfach auf (explorer) schmiert auch ab.


MfG

Was sagt der Taskmanager denn so ? Ruf ihn doch mal auf und suche nach Prozessen die viel leistung nehmen.

nen edit 1, Bei dem Von Malewrebyte wird Bifrose angezeigt. Das ist nen Typisches Backdoor wo also schadsoftware rein ins System kann. Wenn mir weiter was auffält poste ichs.

Nun nichts mehr, ich habe ja windows zurückgesetzt (acronis true image2010)

Ähm sind die Logfiles nach dem Image oder davor gemacht worden ? beachte mein edit.

Die sind vor dem einspielen des Image's erstellt worden.

Vielen dank für deine Mühe bei dem heissen wetter !!

Dann mach sie noch einmal jetzt. Und man wird weiter sehen.

Und ich sitz sowiso drausen. Mit Laptop