HI,
ich hatte kürzlich TR/Drop/Small.NK auf dem Rechner. Keine Ahnung, woher. "AntiVir" hat Alarm geschlagen und gelöscht. Trotzdem habe ich seitdem beim Online-Scan von HoouseCall immer wieder eine Trojanermeldung in C:\Temp. Die Datei heißt immer wieder anders:
V39C3CA01368 oder
V3BC3CA00504 oder
V3A43CA01328 oder oder oder...
Es hat nicht gebracht, das Temp-Verzeichnis zu löschen, die Systemwiederherstellung zu deaktivieren, neu zu starten und wieder zu aktivieren.
Spybot-Search&Destroy bringt keine Abhilfe, auch CWS-Shredder nicht und selbst der eScan findet nix. Wie werd ich den Mist bloß los ???
Logfile of HijackThis v1.98.2
Scan saved at 19:16:13, on 02.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis1.exe
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Multimedia Card Reader\shwicon2k.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
c:\PROGRA~1\Clipinc\Server\ClipInc-Server.exe
C:\WINDOWS\System32\Fast.exe
C:\Programme\Internettools\hjt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hyrican.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hyrican.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - Default URLSearchHook is missing
O1 - Hosts: 212.33.69.3 js1.hitbox.com
O1 - Hosts: 212.33.69.3 stats.hitbox.com
O1 - Hosts: 212.33.69.3 pagead2.googlesyndication.com
O1 - Hosts: 212.33.69.3 m1.nedstatbasic.net
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [pdfFactory Dispatcher v1] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis1.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [CHotKey] mHotkey.exe
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [Sunkist2k] C:\Programme\Multimedia Card Reader\shwicon2k.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [WinPatrol] "C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe"
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: FRITZ!web.lnk = C:\Programme\FRITZ!\FriWeb32.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Birthday.exe.lnk = C:\Programme\Birthday\Birthday.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1104418148375
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FDE324E6-924A-4E43-BF78-F05AD52CE9A8}: NameServer = 192.168.120.252,192.168.120.253

Wer kann mir weiter helfen ????

Biott

Fixe doch mal:

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61}
(HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/...all/xscan53.cab

R3 - Default URLSearchHook is missing
O1 - Hosts: 212.33.69.3 js1.hitbox.com
O1 - Hosts: 212.33.69.3 stats.hitbox.com
O1 - Hosts: 212.33.69.3 pagead2.googlesyndication.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hyrican.de/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hyrican.de
O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.d
O1 - Hosts: 212.33.69.3 m1.nedstatbasic.net

Danke RWE-ler, hab ich gemacht. Aber das Problem ist leider nicht behoben.
Habe in "Killbox" unter C:\ Dateien gefunden, die mir suspekt erscheinen:
TempIadHide3.dll
78875.sym
23990098.$$$
WINDOWSkj01d.sys

Weiß jemand, ob das "normal" ist ???

Biott

Hallo Leut's,
ich habs gefunden !!!!

Der Übeltäter war
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

Nach dem Fix und erneuten Internetbesuchen war keine neue TR/Drop/Small.NK - Datei mehr auffindbar !

Also wieder mal eine Warnung, alle IE-Helper zu blockieren, auch wenn sie noch so vertrauenswürdig erscheinen !

Biott

@Biott
besser wäre es den firefox als browser zu benützen,
den IE nur noch zum windowsupdate nützen
chaosman

Danke chaosman für den Tip. Werde ich machen.
Im Windows-Verzeichnis hat mein Security-Task-Manager übrigens eine äußerst fragwürdige Datei ohne jegliche Beschreibung gefunden:
ahf.dll
Ich habe sie umbenannt in ahf.txt - erst mal sehen, was passiert.
Kann das ein weiteres Überbleibsel sein ??

Biott

@ biott:
Lasse die Dir suspekt erscheinenden Dateien hier online scannen.
cacatoa

Habe die Datei ahf.dll online scannen lassen auf der Seite und das Ergebnis "infected" erhalten.
Dateien im Windows-Verzeichnis ohne jegliche Beschreibungen sollten von vorn herein als suspekt gelten...
Den Security-Task-Manager, der die Datei fand, ist zu holen unter http://www.neuber.com/taskmanager/deutsch/download.html . Kann ich nur empfehlen. Zum Download steht eine 30-Tage Testversion zur Verfügung.

Biott

Bitte, köntest Du das Ergebnis, das Jotti ergeben hat, mal posten?

Okay, hier das Ergebnis von Jotti:

File: ahf.dll

Status:
MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.) (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)

Packers detected: UPX

AntiVir
No viruses found (0.14 seconds taken)
Avast
No viruses found (1.54 seconds taken)
BitDefender
No viruses found (0.38 seconds taken)
ClamAV
No viruses found (0.41 seconds taken)
Dr.Web
No viruses found (0.53 seconds taken)
F-Prot Antivirus
No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus
No viruses found (0.65 seconds taken)
mks_vir
No viruses found (0.23 seconds taken)
NOD32
No viruses found (0.41 seconds taken)
Norman Virus Control
No viruses found (0.12 seconds taken)

@ Biott

Zitat:

Zitat von Biott

File: ahf.dll

Status:
MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious.

Wenn Du die ahf.dll noch hast, sende sie bitte passwortgeschützt (mit Angabe des Passworts in der Mail) an partytime-germany.ice@web.de, mit Hinweis auf diesen Thread. Diese Mail-Adresse gehört *Christian*, einem Boardmitglied, der unbekannte Dateien einer Prüfung unterziehen kann. Wir würden gerne erfahren, um welche Malware es sich handelt.

Überprüfe Deinen Rechner nun mit dem eScan.

Erstelle einen neuen Ordner (=Verzeichnis) "c:\bases". Downloade den eScan. Beachte dazu die Anleitung im Link. Entpacke den eScan in den neuen Ordner "bases" auf "C:". Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus.

Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

SD

Hier meine Ergebnisse des eScans:

Sat Jan 08 13:04:49 2005 => Total Files Scanned: 55887
Sat Jan 08 13:04:49 2005 => Total Virus(es) Found: 15
Sat Jan 08 13:04:49 2005 => Total Disinfected Files: 0

Sat Jan 08 13:04:49 2005 => Scan Completed.



Sat Jan 08 12:47:57 2005 => File C:\WINDOWS\system32\f3PSSavr.scr infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.

Sat Jan 08 12:18:45 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*

C:\Programme\MyWebSearch\bar\1.bin\MWSOESTB.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.

Sat Jan 08 12:16:43 2005 => File C:\Programme\MyWebSearch\bar\1.bin\MWSOESTB.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.

Sat Jan 08 12:16:43 2005 => File C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.

Sat Jan 08 12:16:42 2005 => File C:\Programme\MyWebSearch\bar\1.bin\M3SKIN.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.

Sat Jan 08 12:16:42 2005 => File C:\Programme\MyWebSearch\bar\1.bin\M3OUTLCN.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.

Sat Jan 08 12:16:42 2005 => File C:\Programme\MyWebSearch\bar\1.bin\F3WPHOOK.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.

Sat Jan 08 12:16:42 2005 => File C:\Programme\MyWebSearch\bar\1.bin\F3SCHMON.EXE infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.

Sat Jan 08 12:16:42 2005 => File C:\Programme\MyWebSearch\bar\1.bin\F3RESTUB.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.

Sat Jan 08 12:16:42 2005 => File C:\Programme\MyWebSearch\bar\1.bin\F3PSSAVR.SCR infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.

Sat Jan 08 12:16:42 2005 => File C:\Programme\MyWebSearch\bar\1.bin\F3POPSWT.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.

Sat Jan 08 12:16:42 2005 => File C:\Programme\MyWebSearch\bar\1.bin\F3HTMLMU.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.

Sat Jan 08 12:16:42 2005 => File C:\Programme\MyWebSearch\bar\1.bin\F3HISTSW.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.

Sat Jan 08 12:00:48 2005 => File C:\WINDOWS\System32\f3PSSavr.scr infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.


Sieht ganz so aus, als wäre mein AntiVir infiziert, oder wie sehe ich das ???

Die "ahf.dll" habe ich passwortgeschützt an die angegebene eMail-Adresse geschickt. Die Mail kam leider zurück - die eMail-Adresse scheint es nicht zu geben. (???)

Biott

Doch, die Mailaddy gibt es: partytime-germany.ice@web.de

Wohin hast du es geschickt?

sorry, hab den Fehler schon entdeckt (hatte einen Buchstaben vergessen...)

Die Datei müsste jetzt angekommen sein.
Biott

Datei ist da. Wo hast du die Datei gefunden? Pfadangabe wäre nützlich.