Habe diese Email von einer Menschen bekommen, der mir eine Email geschrieben hatte, die sehr verspaetet ankam.

Betreff: Benachrichtung zum Übermittlungsstatus (Verzögerung)
Dies ist eine automatisch erstellte Benachrichtigung über den Zustellstatus.
DIES IST NUR EINE WARNUNG.
SIE BRAUCHEN DIE NACHRICHT NICHT ERNEUT ZU SENDEN.
Übermittlung zu folgenden Empfängern wurde verzögert:
und dann meine Emailadresse.

ER glaubt nicht, dass das Security System seines Servers das war, weil da naemlich nur Englisch spricht. Er empfahl mir, ein Hijackthis-Log durchzufuehren, was ich getan habe. Kann mir jemand das entziffern?

Logfile of HijackThis v1.99.1
Scan saved at 10:11:22 PM, on 3/15/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\COMMON~1\AOL\ACS\AOLacsd.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Program Files\EPFL\VPN Client\cvpnd.exe
C:\WINDOWS\System32\GEARSEC.EXE
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\ZipGenius 5\zipgenius.exe
C:\WINDOWS\system32\crlf32.exe
C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\taskmgr.exe
C:\DOCUME~1\Dorothe\LOCALS~1\Temp\ZGTemp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wgpuv.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wgpuv.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\wgpuv.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wgpuv.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wgpuv.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wgpuv.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wgpuv.dll/sp.html#37049
R3 - Default URLSearchHook is missing
N3 - Netscape 7: user_pref("browser.startup.homepage", "http://home.netscape.com/bookmark/7_0/home.html"); (C:\Documents and Settings\Dorothe\Application Data\Mozilla\Profiles\default\ufvqwgk6.slt\prefs.js)
N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%20Files%5CNetscape%5CNetscape%5Csearchplugins%5CSBWeb_01.src"); (C:\Documents and Settings\Dorothe\Application Data\Mozilla\Profiles\default\ufvqwgk6.slt\prefs.js)
O2 - BHO: (no name) - {E4CBD514-E599-C72F-5DD0-DC9B8741D00A} - C:\WINDOWS\atlpw32.dll
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\COMMON~1\AOL\ACS\AOLacsd.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program Files\EPFL\VPN Client\cvpnd.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSEC.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: McAfee Framework Service (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Workstation NetLogon Service (� 6QÔõ'ª´ÆÐ8) - Unknown owner - C:\WINDOWS\system32\crlf32.exe

In der Hoffnung, dass sich jemand meiner erbarmt, schicke ich Euch viele Gruesse
Menschmeier

@menschmeier
schaust hier am besten mal durch
http://www.trojaner-board.de/showthr...6&page=5&pp=10
Beta7SPSeHjFix downloaden und laufen lassen

chaosman

Hallo,

lass mal vorsichtighalber diese Datei:

C:\WINDOWS\system32\crlf32.exe

hier online checken:

http://virusscan.jotti.org

Teile das Ergebnis mit (etwa 12 Zeilen).

Ist vermutlich nur Coolwebsearch aber sicher ist sicher.

http://service.iamnotageek.com/srch-494.html

dartus

Vielen Dank fuer den Tipp. Aber hier ist schon das naechste Problem:
Hab Beta7SPSeHjFix gedownloadet und auf start disinfection geklickt. Aber jetzt passiert nichts. GRRRRR.

Hallo,

Du musst offline gehen und alle Anwendungen schliessen.
Komm aber auf jeden Fall noch mal wieder wegen dieser einen Datei.
Die soll ja auch nocj weg.

dartus

Ähem, der Cleaner 'wirkt' nur bei einem ganz bestimmten Hijacker und ist leider kein 'Allround-Tool' gegen jede 'dll/sp.html'-Infektion...

@menschmeier,
fixe bitte im abgesicherten Modus mit HijackThis folgende Zeilen manuell:

Zitat:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wgpuv.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wgpuv.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\wgpuv.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\wgpuv.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\wgpuv.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wgpuv.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\wgpuv.dll/sp.html#37049
R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {E4CBD514-E599-C72F-5DD0-DC9B8741D00A} - C:\WINDOWS\atlpw32.dll

Anschließend lösche diese Dateien manuell:

Zitat:

C:\WINDOWS\wgpuv.dll
C:\WINDOWS\atlpw32.dll

Sorgen bereitet mir noch dieser Eintrag:

Zitat:

O23 - Service: Workstation NetLogon Service (� 6QÔõ'ª´ÆÐ8) - Unknown owner - C:\WINDOWS\system32\crlf32.exe

Überprüfe bitte die fett markierte Datei unter http://virusscan.jotti.org/ und poste uns das Ergebnis der Überprüfung...


BTW: Hier und vor allem in anderen Foren lese ich immer wieder, dass der Cleaner im abgesicherten Modus und nach Beenden aller anderen Programme eingesetzt werden muss. Letzteres ist zwar sinnvoll, da es bei einer erfolgreichen Desinfektion zu einem Reebot kommt und nicht gespeicherte Dateien einer Anwendung (z. B. ein geöffnetes Word-Dokument) u.U. verlorengehen könnten, aber zwingend erforderlich sind diese vorhergehenden Maßnahmen nicht.

Vielen Dank Lutz. Kannst Du aber mal erklaeren, wie man das in diesem abgesicherten Modus macht. Sorry, Du siehst, ich bin neu hier.

Hallo menschmeier,

lass bitte erstmal die Datei online scannen.
Dann sehen wir weiter.

dartus

Ok! Hier also das Ergebnis des Online Checks:
Service load:
0% 100%
File: crlf32.exe Status:
INFECTED/MALWARE
Packers detected:
PE-CRYPT.SQR, UPX
AntiVir
TR/Agent.bi1 (0.62 seconds taken)
Avast
Win32:Trojano-995 (1.51 seconds taken)
AVG Antivirus
BackDoor.Small.27.AI (0.53 seconds taken)
BitDefender
Trojan.Agent.BI (0.51 seconds taken)
ClamAV
Trojan.Agent-35 (0.59 seconds taken)
Dr.Web
Trojan.Filtr (0.90 seconds taken)
F-Prot Antivirus
W32/Backdoor.AWX (0.09 seconds taken)
Fortinet
W32/Agent.MP-tr (0.44 seconds taken)
Kaspersky Anti-Virus
Trojan.Win32.Agent.bi (1.04 seconds taken)
mks_vir
Trojan.Agent.Bi (0.22 seconds taken)
NOD32
Win32/Agent.BI (0.47 seconds taken)
Norman Virus Control
W32/Agent.BSQ (0.18 seconds taken)

Ist das, was Ihr braucht?
1000Dank

oder sind es etwa diese Zeilen, die Ihr braucht?

Last piece of malware found was probably unknown NewHeur_PE in rBot.exe, detected by:

Scanner Malware name Time taken
AntiVir X 0.43 seconds
Avast X 1.51 seconds
AVG Antivirus X 0.59 seconds
BitDefender Backdoor.RBot.B9D329F4 0.60 seconds
ClamAV X 0.61 seconds
Dr.Web X 0.89 seconds
F-Prot Antivirus X 2.80 seconds
Fortinet X 0.44 seconds
Kaspersky Anti-Virus Backdoor.Win32.Rbot.gen 1.06 seconds
mks_vir X 0.24 seconds
NOD32 probably unknown NewHeur_PE 1.51 seconds
Norman Virus Control X 2.52 seconds

Gruss von der
Ahnungslosen

Hallo menschmeier,

ich muss ehrlich zugeben, dass es mir schwer fehlt diese Datei:

C:\WINDOWS\system32\crlf32.exe

entsprechend einzuordnen.
Einerseits als Backdoor anderseits als Adaware.
Daher würde ich Dir raten, um auf "Nummer Sicher" zu gehen,
Dein System entspr. folgender Anleitung neuzuinstallieren.

http://www.trojaner-board.de/showthread.php?t=12154

Datensicherung:

http://www.trojaner-board.de/showpos...8&postcount=11

sry
dartus

Zitat:

Zitat von dartus

Hallo menschmeier,
ich muss ehrlich zugeben, dass es mir schwer fehlt diese Datei:
C:\WINDOWS\system32\crlf32.exe

Mir geht es ähnlich, wobei ich dazu tendiere, dass es sich 'nur' um einen Download-Trojaner handelt.

Aber im Grunde kann ich mich dartus nur anschließen. Wenn Du sicher gehen willst, bleibt nur eine Neuinstallation übrig...

Vielen Dank Dartus und Lutz!
Gruss von
MM