Malware gefunden. Macht alle meine Daten unsichtbar?

Dieses Thema im Forum "Viren, Trojaner & Malware" wurde erstellt von ice break, 3. Juni 2011 .

  1. 3. Juni 2011
    Hi,
    wie in der Überschrift schon steht, hab ich seit 2 Tagen eine Malware auf meinem Computer.
    Angefangen hat alles, als Kaspersky mir angezeigt hat, das ich Malware auf dem Computer habe. Habe dann gemerkt, dass das Datum sowie die Uhrzeit geändert wurde und Java nicht mehr funktioniert hat. Nach einem normalen Neustart waren alle meine "wichtigen persönlichen" Daten weg. Mein Desktop war komplett leer, alles war weg. Dann hab ich gemerkt das alles nur unsichtbar gemacht wurde. Hab jetzt alles geändert und nun ist alles wieder da. Musste sogar im Bios das Datum sowie die Uhrzeit ändern, da ich sonst immer F1 drücken musste, damit er hochfährt.

    Hab jetzt Hijackthis drüber laufen lassen und hier das Ergebnis:

    Spoiler
    Logfile of Trend Micro HijackThis v2.0.4
    Scan saved at 00:42:49, on 03.06.2011
    Platform: Windows Vista SP2 (WinNT 6.00.1906)
    MSIE: Internet Explorer v7.00 (7.00.6002.18005)
    Boot mode: Normal

    Running processes:
    C:\Windows\system32\Dwm.exe
    C:\Windows\Explorer.EXE
    C:\Windows\system32\taskeng.exe
    C:\Program Files\Windows Defender\MSASCui.exe
    C:\Program Files\ATKOSD2\ATKOSD2.exe
    C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
    C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    C:\Program Files\ASUS\ATK Media\DMedia.exe
    C:\Program Files\P4P\P4P.exe
    C:\Windows\ASScrPro.exe
    C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe
    C:\Windows\RtHDVCpl.exe
    C:\Program Files\iTunes\iTunesHelper.exe
    C:\Program Files\Windows Media Player\wmpnscfg.exe
    C:\Windows\ehome\ehtray.exe
    C:\Program Files\Synaptics\SynTP\SynAsus.exe
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
    C:\Windows\ehome\ehmsas.exe
    C:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\AsGHost.exe
    C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
    C:\Program Files\Opera\opera.exe
    C:\Program Files\Java\jre6\bin\javaw.exe
    C:\Users\D-Sik\Desktop\HiJackThis204.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ICQ.com Search
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
    ASUS

    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN NL: Hotmail, Outlook, Skype, het laatste nieuws, entertainment en meer!
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
    R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
    R3 - URLSearchHook: (no name) - - (no file)
    O1 - Hosts: ::1 localhost
    O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\ievkbd.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: ASUS Security Protect Manager - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\ItIEAddIn.dll
    O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll
    O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
    O4 - HKLM\..\Run: [ATKOSD2] "C:\Program Files\ATKOSD2\ATKOSD2.exe"
    O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
    O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\Windows\RaidTool\xInsIDE.exe
    O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\ASUSSE~1\ASUSSE~1\Bin\ASTSVCC.dll,RegisterModule
    O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE
    O4 - HKLM\..\Run: [PowerForPhone] "C:\Program Files\P4P\P4P.exe"
    O4 - HKLM\..\Run: [ASUS Camera ScreenSaver] C:\Windows\ASScrProlog.exe
    O4 - HKLM\..\Run: [ASUS Screen Saver Protector] C:\Windows\ASScrPro.exe
    O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"
    O4 - HKLM\..\Run: [IS CfgWiz] "C:\Program Files\Common Files\Symantec Shared\OPC\{31011D49-D90C-4da0-878B-78D28AD507AF}\cltUIStb.exe" /MODULE CfgWiz /GUID {BC8D3EAF-F864-4d4b-AB4D-B3D0C32E2840} /MODE CfgWiz /CMDLINE "REBOOT"
    O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe"
    O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
    O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
    O4 - HKLM\..\Run: [Skytel] Skytel.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
    O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files\Common Files\LightScribe\LightScribeControlPanel.exe -hidden
    O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
    O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
    O4 - HKCU\..\Run: [Steam] "C:\1-David\Spiele\Steam\Steam.exe" -silent
    O4 - Startup: igfxtray.exe
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O8 - Extra context menu item: Free YouTube Download - C:\Users\D-Sik\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubedownload.htm
    O8 - Extra context menu item: Free YouTube to MP3 Converter - C:\Users\D-Sik\AppData\Roaming\DVDVideoSoftIEHelpers\freeyoutubetomp3converter.htm
    O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\ie_banner_deny.htm
    O9 - Extra button: ASUS Security Protect Manager e-Wallet - {1009C944-97D5-44A9-9E32-DFF54F498968} - C:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\ASWallet.dll
    O9 - Extra 'Tools' menuitem: ASUS Security Protect Manager e-&Wallet - {1009C944-97D5-44A9-9E32-DFF54F498968} - C:\Program Files\ASUS Security Center\ASUS Security Protect Manager\Bin\ASWallet.dll
    O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O20 - AppInit_DLLs: APSHook.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
    O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
    O23 - Service: AMD External Events Utility - AMD - C:\Windows\system32\atiesrxx.exe
    O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
    O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
    O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
    O23 - Service: Kaspersky Anti-Virus Service (AVP) - Kaspersky Lab ZAO - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe
    O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
    O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
    O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
    O23 - Service: COM Host (comHost) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe (file missing)
    O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
    O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Unknown owner - C:\Program Files\Norton Internet Security\isPwdSvc.exe (file missing)
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
    O23 - Service: NMIndexingService - Unknown owner - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe (file missing)
    O23 - Service: spmgr - Unknown owner - C:\Program Files\ASUS\NB Probe\SPM\spmgr.exe
    O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
    O23 - Service: Symantec AppCore Service (SymAppCore) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe (file missing)

    --
    End of file - 8408 bytes

    Hab schon versucht mit Kaspersky die zu enfernen. Darauf reagiert Kaspersky nicht. Mittlerweile ist meine Lizenz gesperrt, obwohl der Key noch gut paar Monate laufen sollte. Was soll ich tun? Bin ein totaler Noob was sowas angeht.

    Vielen Dank
     
  2. 3. Juni 2011
    AW: Malware gefunden. Macht alle meine Daten unsichtbar?

    Startup: igfxtray.exe
    Trojan.Adclicker & Igfxtray.exe - Wie entfernen? - Trojaner-Board
     
  3. 4. Juni 2011
    AW: Malware gefunden. Macht alle meine Daten unsichtbar?

    Spoiler
    Hintergrund: Datei igfxtray.exe befindet sich im Verzeichnis C:\Windows\System32. Weitere Dateigrößen sind 155,648 Bytes (37% aller dieser Dateien), 94,208 Bytes, 98,304 Bytes, 141,848 Bytes, 135,168 Bytes, 131,072 Bytes, 150,040 Bytes, 138,008 Bytes, 142,104 Bytes, 118,784 Bytes, 151,552 Bytes, 134,656 Bytes, 30,720 Bytes, 212,992 Bytes, 143,360 Bytes, 137,752 Bytes.igfxtray.exe - wichtige Windows Datei oder Trojaner?
    Für dieses Programm gibt es ein Icon auf der Windows Taskleiste (rechts unten, neben der Uhr). Das Programm hat ein sichtbares Fenster. igfxtray.exe gehört nicht zum Windows Betriebssystem. igfxtray.exe ist von Microsoft und vertrauenswürdig. Deshalb halten wir die Datei zu 4% als verdächtig. Lesen Sie jedoch auch die folgenden Anwender Kommentare.

    Oftmals benutzen Trojaner bekannte Dateinamen um im Task-Manager unverdächtig zu erscheinen. Diese verursachen dann Systemfehler aufgrund stümperhafter Programmierung. Mit Programmen wie den Security Task Manager stellen Sie fest, ob Ihre igfxtray.exe Datei die Original-Datei ist. Quelle: http://www.datei.info/was_ist/igfxtray_exe.html

    starte mal http://www.malwarebytes.org/products/malwarebytes_pro

    Anleitung dafür findest du hier und poste bitte den Log
     
  4. 5. Juni 2011
    AW: Malware gefunden. Macht alle meine Daten unsichtbar?

    Warum soll er jetzt noch Scans machen wenn die Malware längst erkannt wurde? Da helfen eh nur folgende Schritte um sicher zu gehen das wichtige Daten sicher bleiben:

    1. Rechner offline schalten.
    2. Alle wichtigen Passwörter von nem sauberen System aus ändern.
    3. Daten sichern.
    4. Formatieren und Neuaufsetzen.

    MfG, SpectrumX!
     
  5. 5. Juni 2011
    AW: Malware gefunden. Macht alle meine Daten unsichtbar?

    Weil im oberen Text folgendes steht!

    Bezogen auf Kaspersky:
    Es ist einfach nicht notwenidig jedes mal den PC neu aufzusetzen, wenn man mit "einfachen" Methoden das Problem anpacken kann!
     
  6. 5. Juni 2011
    AW: Malware gefunden. Macht alle meine Daten unsichtbar?

    Die da wären? Wenn ein System erst kompromittiert ist, was hier ja offensichtlich der Fall ist, hilft es doch nichts mehr zu scannen. Zuverlässig entfernen läst sich Malware nicht, du weißt doch gar nicht wie viel Schadcode nachgeladen wurde...

    Und in seinem Fall ist doch nun wirklich vieles schon total zerschossen, da siehst du doch das die Malware die Kontrolle über das System hat. Und selbst wäre alles bereinigt durch den Einsatz von AV Programmen und Co., wäre es erfahrungsgemäß ein wesentlich größerer Aufwand alle Schäden zu fixen als Neuaufsetzen.
     
  7. 5. Juni 2011
    AW: Malware gefunden. Macht alle meine Daten unsichtbar?

    Mehr gibts nicht zu sagen!
    Muss der TE selbst wissen ob er in circa einer Stunde Win neu aufsetzt oder in tagelanger Arbeit (ohne Sicherheit das alle Schädlinge weg sind) den Kampf aufnimmt.
     
  8. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.