SpamTool.Win32.Mailbot.w Infektion Hilfe!!!

[d.fens]

Hallo. Kaspersky Anti-Virus 6.0 hat heute den Trojaner (?) SpamTool.Win32.Mailbot.w gefunden. Folgende Dateien sind davon betroffen: C:\Windows\tool1.exe ; C:\Windows\system32\msctl32.dll ; C:\Windows\system32\drivers\i369p.sys
Die "Symptome" sind nervige Pop-ups zu Suchbegriffen, die ich in Google eingebe. Außerdem kann ich einige Seiten im Netz nicht mehr anwählen ("Seite nicht gefunden"). Einige andere Trojaner habe ich schon löschen können (ich hoffe ordnungsgemäß). Ad-Aware SE findet aber immer wieder den Regkey Eintrag "Adware.Linkoptimizer".
Ich habe schon versucht diese Dateien mit Hijackthis zu löschen, aber es geht nicht. Auch im Netz habe ich nicht sehr viel über diesen Trojaner gefunden. Vielleicht könnt ihr mir helfen. Mein Log-file sieht folgendermaßen aus:

Logfile of HijackThis v1.99.1
Scan saved at 18:29:22, on 10.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS2\System32\smss.exe
C:\WINDOWS2\system32\winlogon.exe
C:\WINDOWS2\system32\services.exe
C:\WINDOWS2\system32\lsass.exe
C:\WINDOWS2\system32\svchost.exe
C:\WINDOWS2\System32\svchost.exe
C:\WINDOWS2\Explorer.EXE
C:\WINDOWS2\system32\spoolsv.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS2\system32\CTHELPER.EXE
C:\Programme\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS2\system32\taskmgr.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS2\system32\nvsvc32.exe
C:\WINDOWS2\System32\svchost.exe
C:\WINDOWS2\system32\MsPMSPSv.exe
C:\WINDOWS2\system32\wuauclt.exe
C:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {AE56B58A-263E-FB6C-7B09-55D4CCDC4E92} - C:\WINDOWS2\pbega1.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS2\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS2\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS2\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS2\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS2\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [USB2Check] RUNDLL32.EXE "C:\WINDOWS2\system32\PCLECoInst.dll",CheckUSBController
O4 - HKLM\..\Run: [USBToolTip] "C:\Programme\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [kav] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1137710868109
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1150273760437
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15023/CTPID.cab
O20 - Winlogon Notify: klogon - C:\WINDOWS2\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS2\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS2\system32\nvsvc32.exe

Vielen Dank schon mal im voraus!

d.fens

[Karl]

Hi,

dein Log liefert nur spärliche Informationen, da es sich um ein Rootkit handelt, ist das auch kein Wunder.

Sollte einer der folgenden Scans nicht funktionieren, dann benenne die Datei des jeweiligen Programms mal um, irgendein anderer Name, und probiere es nochmal.

Einige Scans auf Dateien, Prozesse und Registryeinträge, die vor den meisten anderen Scannern versteckt werden (durch ein sogenanntes Rootkit). Während dieser Scans soll(en):

• alle anderen Scanner gegen Viren, Spyware, usw deaktiviert sein
• keine Verbindung zu einem Netzwerk/Internet bestehen (WLAN nicht vergessen)
• nichts am Rechner getan werden

RootkitRevealer scannen lassen

• Lade RootkitRevealer runter und entpacke das Archiv in einen eigenen Ordner, z.B. C:\programme\rootkitrevealer.
• Starte in diesem Ordner RootkitReavealer.exe. Alle anderen Programme schließen.
• Starte durch Klick auf "Scan".
• Wenn der Scan fertig ist das Logfile mit File -> Save abspeichern.

Blacklight scannen lassen

• Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
• Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
• Klick "I accept the agreement", "next", "Scan".
• Wenn der Scan fertig ist beende Blacklight mit "Close".
• Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

Sophos scannen lassen

• Gehe zu Sophos und lade dir ihren Rootkitescanner herunter. Du bekommst eine Installationsdatei sarsfx.exe.
• Starte diese, akzeptiere die Lizenz und lass das Programm installieren, ändere den Pfad C:\SOPHTEMP nicht.
• Gehe mit dem Explorer in diesen Ordner und starte sargui.exe, schließe danach alle anderen Programme.
• Lass unter Area alles angehalt und starte den Scan mit "Start scan". Der Scan dauert einige Zeit, wenn er fertig ist poppt ein Fenster auf mit einer Zusammenfassung, klicke dort "Ok". Beende den Sophos Rootkitscanner, dieser Scan dient nur der Analyse.
• Starte den Explorer und gib in der Adresszeile "%temp%" ein (ohne Anführungsstriche), dort gibt es eine Datei sarscan.log, deren Inhalt bitte posten.

Gmer scannen lassen

• Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.
• Starte gmer.exe und gehe zum Tab Rootkit. Alle anderen Programme sollen geschlossen sein.
• Stelle sicher, daß in der Leiste rechts alles von "System" bis "ADS" angehakt ist ([B]Wichtig[B]: "Show all" darf nicht angehakt sein) und starte den Scan mit "Scan". Mache nichts am Computer während der Scan läuft.
• Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.
• Füge das Log aus der Zwischenablage in deine Antwort hier ein.

Scanner wieder einschalten, bevor Du ins Netz gehst!

Nun alle Logs posten.

Gruß, Karl

[d.fens]

Zuerst einmal Danke für deine schnelle und umfassende Antwort. Allerdings konnte ich zwei der Scanner nicht benutzen, auch wenn ich die Dateien umbenannt habe (RootkitReavealer und Gmer). Nun die Logs:

Blacklight Log:

10/10/06 20:18:17 [Info]: BlackLight Engine 1.0.47 initialized
10/10/06 20:18:17 [Info]: OS: 5.1 build 2600 (Service Pack 2)
10/10/06 20:18:17 [Note]: 7019 4
10/10/06 20:18:17 [Note]: 7005 0
10/10/06 20:18:22 [Note]: 7006 0
10/10/06 20:18:22 [Note]: 7011 1404
10/10/06 20:18:22 [Note]: 7026 0
10/10/06 20:18:23 [Note]: 7026 0
10/10/06 20:18:31 [Note]: FSRAW library version 1.7.1020
10/10/06 20:24:00 [Note]: 7007 0

Sophos Log:

Sophos Anti-Rootkit Version 1.0 (c) 2006 Sophos Plc
Started logging on 10.10.2006 at 20:07:40
Stopped logging on 10.10.2006 at 20:12:05

Ich denke mal, dass leider keiner der beiden Scanner etwas finden konnte. Gibt es eine Möglichkeit die Scanner RootkitReavealer und Gmer in irgendeiner Weise zum laufen zu bringen. Blockiert der Trojaner vielleicht das Ausführen der Scanner? Wie soll ich nun weiter vorgehen?

Gruß, d.fens

[d.fens]

Sollte ich vielleicht versuchen, die Dateien c:\windows\system32\msctl32.dll
; c:\windows\system32\drivers\i386p.sys und c:\windows\tool1.exe mit killbox zu löschen oder richte ich dadurch nur noch mehr Schaden an?

Gruß, d.fens

[Karl]

Ja, probier es mal, viel größer werden kann der Schaden wohl nicht mehr.

[d.fens]

Ich habe die Dateien nun mit Kaspersky gelöscht. Nach dem Neustart sind sie auch nicht mehr zu aufgetreten. Allerdings kann ich RootkitRevealer und Gmer immer noch nicht ausführen. Ad-Aware findet aber immer noch den "Adware.Linkoptimizer". Wie kann ich nun gegen ihn vorgehen?

Gruß d.fens

[Karl]

Zur Smitfraud Entfernung führe bitte folgende Anleitung aus:

• Lade SmitFraudFix. Entpacke es in einen neuen Ordner C:\smitfraudfix. Starte smitfraudfix.cmd und wähle Option 1, dies erzeugt einen Bericht über die vorliegende Infektion. Dieser Bericht ist als C:\rapport.txt gespeichert. Benenne ihn um, damit er im nächsten Schritt nicht überschrieben wird.
• Starte deinen Computer neu in den abgesicherten Modus. Starte wieder smitfraudfix.cmd und wähle diesmal Option 2 für die Reinigung. Beantworte die Frage "Do you want to clean the registry ?" (möchtest Du die Registry reinigen?) mit y.
• Der Fix hält an, wenn die Datei wininet.dll infiziert ist. Beantworte dann die Frage "Replace infected file ?" (möchtest Du die infizierte Datei ersetzen) mit y. Das Log von diesem Schritt wird als C:\rapport.txt gespeichert.
• Starte neu in den normalen Modus, poste die beiden Logs und ein frisches Hijackthis Log.

[d.fens]

Also, ich habe nun auch noch andere Trojaner auf meinem PC entdeckt, die ich aber nun auch löschen konnte. (z.B. mit Kaspersky: Trojan-Spy.Win32.Small.dg ; Trojan-Spy.Win32.Goldun.hd ; Trojan-Spy.Win32.Goldun.gv ; AdWare.Win32.Linkoptimizer.b ; AdWare.Win32.MyWebSearch). Viele davon hatten sich in Systemwiederherstellungsdateien versteckt. Ad-Aware findet nun auch nicht mehr den Reg-Eintrag "Adware.Linkoptimizer". Pop-ups sind mir die letzten 2 Stunden auch nicht mehr vorgekommen.

Hier nun die Logs und die neue Hijackthis Log:



SmitFraudFix v2.109

Scan done at 13:01:48,81, 12.10.2006
Run from C:\smitfraudfix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS2


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS2\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS2\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS2\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Oswald.AXELOSWALD


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Oswald.AXELOSWALD\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\OSWALD~1.AXE\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="\\\\?\\C:\\WINDOWS2\\system32\\com3.lgq"


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End


SmitFraudFix v2.109

Scan done at 13:10:23,35, 12.10.2006
Run from C:\smitfraudfix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

Anscheinend hat er nichts gefunden, oder liege ich da falsch?

Hijackthis Log:

Logfile of HijackThis v1.99.1
Scan saved at 13:18:21, on 12.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS2\System32\smss.exe
C:\WINDOWS2\system32\winlogon.exe
C:\WINDOWS2\system32\services.exe
C:\WINDOWS2\system32\lsass.exe
C:\WINDOWS2\system32\svchost.exe
C:\WINDOWS2\System32\svchost.exe
C:\WINDOWS2\Explorer.EXE
C:\WINDOWS2\system32\spoolsv.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS2\system32\CTHELPER.EXE
C:\Programme\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS2\system32\nvsvc32.exe
C:\WINDOWS2\System32\svchost.exe
C:\WINDOWS2\system32\MsPMSPSv.exe
C:\WINDOWS2\system32\wuauclt.exe
C:\Programme\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Class - {AE56B58A-263E-FB6C-7B09-55D4CCDC4E92} - C:\WINDOWS2\pbega1.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS2\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS2\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS2\system32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS2\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS2\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [USB2Check] RUNDLL32.EXE "C:\WINDOWS2\system32\PCLECoInst.dll",CheckUSBController
O4 - HKLM\..\Run: [USBToolTip] "C:\Programme\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [kav] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/reso...an8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1137710868109
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1150273760437
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/actives...ree/asinst.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15023/CTPID.cab
O20 - Winlogon Notify: klogon - C:\WINDOWS2\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS2\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS2\system32\nvsvc32.exe


Danke nochmals für deine Hilfe!

Gruß d.fens

[d.fens]

Ist mein PC jetzt wieder einigermaßen sauber? Das rootkit wird bestimmt noch aktiv sein, da ich z.B. GMER oder Darkspy nicht ausführen kann bzw. z.B. die Seite Trojaner-Forum.de nicht anwählen kann. Gibt es sonst noch irgendwelche Maßnahmen, mit denen ich dieses rootkit endlich entfernen kann?

Gruß d.fens

[Karl]

Ist mein PC jetzt wieder einigermaßen sauber? Das rootkit wird bestimmt noch aktiv sein

Da hast Du dir deine Frage bereits selber beantwortet. Nein, der PC ist alles andere als sauber, die Indizien sprechen dafür, daß Du eines der schwierigsten Rootkits im System hast, die derzeit unterwegs sind.

Die Rootkitscanner werden vermutlich von der Malware geblockt, manchmal soll es helfen, die jeweilige Datei des Scanners vor dem Start umzubennen, irgendein anderer Name. Probier das mal aus.

Lade dir das angehängte Zip und entpacke es. Die userlist.bat bitte ausführen. Den Inhalt des sich öffnenden Logs posten. Falls es sich nicht öffnet ist es als c:\userlist.log abgespeichert.

Start -> ausführen -> services.msc -> Ok. In dem Servicefenster nun für jeden Service folgendes tun:

Doppelklick für die Eigenschaften, dort ins Register "anmelden" gehen und nachschauen ob dort anstelle "Lokales Systemkonto" "dieses Konto" markiert ist und dorthinter ein unbkannter zufälliger Name steht. Für alle Services, wo Du so etwas findest, gehe zurück zum Register "Allgemein" und notiere dort "Dienstname", "Anzeigename", "Pfad zur EXE-Datei", "Starttyp" und eventuelle "Startparameter". Diese Informationen posten.