Hallo

Also heute scheint wirklich ein schwarzer Tag für mich zu sein. Kaum hab ich meinen neuen Internetanschluß bekommen und war gerade mal 5 Minuten im Netz (inklusive aller möglichen Schutzvorkehrungen), da erwischt mich doch so ein wirklich mieser Virus, den ich nach stundenlangen telefonierens mit Hilfe eines Freundes und des HijackThis 1.99.1 besiegt habe. Dumm nur, dass ich wohl eine Datei, die für das Öffnen von Jpegs auf Internetseiten verantwortlich ist, wohl auch gelöscht habe und jetzt bei jedem Start die Nachricht kommt, dass folgendes Modul nicht geöffnet werden kann:
C:\Dokumente~1\MCKE~1\Lokale~1\Temp\se.dll

könnte mir vielleicht von Euch jemand weiterhelfen? Wär wirklich super Klasse.

@bongstarboy
poste ein HJT logfile


chaosman

Logfile of HijackThis v1.99.1
Scan saved at 12:20:56, on 19.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\Spyware remover\Antivir\AVGUARD.EXE
D:\Programme\Spyware remover\Antivir\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
D:\programme\playaz\musicmatch jukebox\mmtask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\playaz\itune\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
D:\Programme\playaz\winamp 2.9\Winamp\winampa.exe
D:\Programme\Spyware remover\Antivir\AVGNT.EXE
C:\Programme\ArchiCrypt Stealth\ACStealth.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\ACD Systems\ImageFox\ImageFox.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Programme\Spyware remover\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=localhost:8080
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [mmtask] d:\programme\playaz\musicmatch jukebox\mmtask.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] D:\Programme\playaz\itune\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] D:\Programme\playaz\winamp 2.9\Winamp\winampa.exe
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [AccG160] D:\PROGRA~1\modem\AccG160.exe
O4 - HKLM\..\Run: [WLAN Quick-Starter] "D:\Programme\modem\WLAN Quick-Starter.exe" -update
O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\MCKE~1\LOKALE~1\Temp\se.dll,DllInstall
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\Spyware remover\Antivir\AVGNT.EXE /min
O4 - HKCU\..\Run: [ArchiCrypt Stealth] C:\Programme\ArchiCrypt Stealth\ACStealth.exe -HIDE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: ImageFox.lnk = ?
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\Spyware remover\Antivir\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\Spyware remover\Antivir\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: License Event Messaging (WksPatch) - Unknown owner - C:\WINDOWS\System32\drivers\svchost.exe (file missing)


hoffe, das Hilft beim Problem!

Hallo,

Zitat:

dass folgendes Modul nicht geöffnet werden kann:
C:\Dokumente~1\MCKE~1\Lokale~1\Temp\se.dll

Diesen Eintrag fixen -> O4 - HKLM\..\Run: [sp] rundll32 C:\DOKUME~1\MCKE~1\LOKALE~1\Temp\se.dll,DllInstall

Zitat:

O23 - Service: License Event Messaging (WksPatch) - Unknown owner - C:\WINDOWS\System32\drivers\svchost.exe (file missing)

http://www.bsi.bund.de/av/vb/welchiabc.htm
usw.

Imho liegen schwerwiegende Probleme bezüglich Malware bei dir vor. Führe deshalb dies aus:
Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben.
Poste anschliessend die Virus Log Information von eScan AntiVirus:
Öffne die mwav.log im Ordner C:\bases -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

Hier die gefundenen Viren:

t Feb 19 13:03:24 2005 => File C:\WINDOWS\system32\AFINNHJE infected by "Email-Worm.Win32.Hybris.b" Virus. Action Taken: No Action Taken.
t Feb 19 13:04:12 2005 => File C:\WINDOWS\system32\IKGKFLFC infected by "Email-Worm.Win32.Hybris.b" Virus. Action Taken: No Action Taken.
Feb 19 13:06:22 2005 => File C:\DOKUME~1\MCKE~1\LOKALE~1\Temp\cd_clint.dll infected by "not-a-virus:AdWare.Cydoor" Virus. Action Taken: No Action Taken.
t Feb 19 13:07:48 2005 => File C:\DOKUME~1\MCKE~1\LOKALE~1\Temp\THI751F.tmp\preInsTT.exe infected by "not-a-virus:AdWare.BiSpy.f" Virus. Action Taken: No Action Taken.
t Feb 19 13:07:50 2005 => File C:\DOKUME~1\MCKE~1\LOKALE~1\Temp\update_1.exe infected by "not-a-virus:AdWare.WinFetcher" Virus. Action Taken: No Action Taken.
Sat Feb 19 13:08:28 2005 => File C:\DOKUME~1\MCKE~1\LOKALE~1\Temp\WinWildApp.exe infected by "not-a-virus:AdWare.WinFetcher" Virus. Action Taken: No Action Taken.
Sat Feb 19 13:08:37 2005 => File C:\DOKUME~1\MCKE~1\LOKALE~1\Temp\__unin__.exe infected by "not-a-virus:AdWare.Altnet.b" Virus. Action Taken: No Action Taken.

Mann, danke für den letzten Tip. Es poppen keine Fehlermeldungen mehr auf, worüber ich äußerst froh bin, auch wenn ich weiß, dass noch ein paar Trojaner mein System belauern.

Mein Internet fetzt wieder wie geschmiert.

Zitat:

Zitat von bongstarboy

, auch wenn ich weiß, dass noch ein paar Trojaner mein System belauern.

will hier Cidre nicht vorweg greifen, aber vielleicht liesst du dir schon mal die Beschreibung zum W32/Hybris-B (Wiederherstellung) durch und bewaffnest dich bzgl. der TEMP-Verzeichnisse mit clearprog und postest nochmal ein neues Hjt-Log

mfg

net



----------
meine Vorgehensweise würde so aussehen ... warte aber bitte ab, was da von Cidre an Anweisungen kommt

lade dir clearprog runter

a) deaktiviere die Systemwiederherstellung: Start/Systemsteuerung/System/Systemwiederherstellung/Systemwiederherstellung deaktivieren
(Systemwiederherstellungspunkte gehen dabei verloren, man sollte also möglichst auf eine andere Sicherung zugreifen können)
b) Systemdateien / Datei-Erweiterungen anzeigen lassen durch folgende Einstellungen : Windows Explorer -> Reiter: "Extras/Ordneroptionen" -> Reiter: "Ansicht" -> Haken entfernen bei "Erweiterungen bei bekannten Dateitypen ausblenden" u. "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren ...... ok klicken und für alle Ordner übernehmen
c) leere deine Temp-Ordner mit clearprog
d) http://www.sophos.de/virusinfo/analyses/w32hybrisb.html (Wiederherstellung) oder
Strg+Alt+Entf (Taskmanager/Prozesse) suche nach einem Task (*) mit 8 zufälligen Zeichen (z. B. FHJENJXE) und beende ihn. (Falls du hier nichts auffälliges findest, um so besser ... dann könntest du Glück haben und das Ding ist/war nicht aktiv) Öffne die win.ini (c:\windows\) mit dem Editor (öffnen mit) und such einen Eintrag: run= ...(*).. der auf die (*).EXE-Datei (den Task*) verweist den/die du gerade vorher beendet haben solltest. (Falls hier kein Eintrag besteht, um so besser ... dann könntest du Glück haben und das Ding ist/war nicht aktiv) Lösche den Dateinamen aus dieser Zeile. Such die (*).EXE im Windows-Systemverzeichnis und lösche sie (oder benenne sie um in z.B. FHJENJXE.EXE.OLD ) ....
ob aktiv oder nicht ... lösche auf jeden Fall die beiden:
File C:\WINDOWS\system32\AFINNHJE
File C:\WINDOWS\system32\IKGKFLFC

e) Edit: WSOCK32.DLL ersetzen oder reparieren


reboot in abgesicherten Modus (F8), erneuter eScan, neues Ergebnis posten