Hallo zusammen,

ich komme grade von einer Lan auf der ich mit meinem Offline Rechner war. Auf der Lan hatten wir auch Internet zu Verfügung und da cih kurz was suchen wollte ging ich mit meinem "nackten" ungeschützten Zockerrechner schnell ins Inet und habe mir so wohl einen dreckigen Wurm eingefangen :-(

Das ganze schaut jetzt so aus das ich keinen rechtsklick mehr machen kann, egal ob auf dem Desktop oder ebn auf eine File, Rechtsklick ist nicht mehr. Nun, ich dachte ich könnte das relativ simpel lösen mit dem Trick: Einstellungen--->Anzeige--->Desktop--->Desktop anpassen--->Web und eben da das häcken weg machen bei dem "Die derzeitige Homepage anzeige". Leider weit gefehlt, nutzen tut das alles nichts.

Naja die weitere Leidensgeschichte sah dann so aus:

-Ad-Aware durchlaufen lassen ---> erfolgslos!
-AntiVir durchlaufen lassen ---> nix gebracht!
-SP2 installieren ---> tjo, mann kann sichs denken!
-Stinger antreten lassen ---> Null Reaktion!

Ich bin so ziemlich das erste mal am Ende mit meinem Alphabet, laut msconfig und diversen Reg einträgen deutete alles auf eine "Keep.exe" hin, die wurde aber mit KillBox in die ewigen Jagdgründe geschickt, das gerne gescholtene "svchost" dürfte auch schuldlos sein, 3 Virenengines täuschen ned!

Im netz habe ich einige hinweise auf irgendeinen .com virus gefunden, keine ahnung ob ich da eine echte verbindung mit herstellen kann, höhrt sich für mich nach einer ziemlich belanglosen vermutung an, mein Bruder vermutete hinter dem ganzen den ollen Blaster, Sorry, spätestens ab dem SP 2 Update wäre der doch legende und dieser bezieht sich primär ja auf das Shutdown -a Debakel.

Ehrlich, so dumm es sich anhöhrt: Ich weiß nun wirklich ned was los ist, oder besser gesagt wie ich den killen könnte, kann sein das ich ja haarscharf an der Lösung vorbeigeschlittert bin, wenn ja, bitte lasst es mich wissen und schaut mal wie weit ihr helfen könnt, wäre euch da doch sehr sehr dankbar

Ich könnte vor Wut echt platzen, weiß einfach nicht mehr weiter, Neu aufsetzen kann ich nicht wirklich machen da dies bei mir mit Tagelanger Arbeit und somit tonnenweise Zeit verbunden wäre die ich aber unter keinen Umständen zu Verfügung stellen kann. Bitte Bitte Bitte Helft mir, ich komme echt nicht mehr weiter!

MfG



Thomas

€dit: Was ich vielleicht vergessen habe zu sagen: kein rechtsklick mehr egal wo, wenn man mit der rechten Maustaste klickt dann ist es wie wenn man den Markierungsrahmen um symbole ziehen will!

Achja noch ein Update der Tools die ich mehrmals im IntensivModus durchlaufen habe lassen:

-HiJack This
-Stinger
-AntiVir
-Sophos
-Mc Afee Antivir
-Spybot

Nix hat was gebracht!

Dann poste mal einen Log von Hijackthis.

Zitat:

Zitat von cronos

Dann poste mal einen Log von Hijackthis.

Bitteschön.....

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 14:10:19, on 28.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ntddetect.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\WINZIP\wzqkpick.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\AcroReader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1EC49166-74FC-0803-D38E-52404EEEADCC} - C:\WINDOWS\System32\qqb.dll
O2 - BHO: WHttpHelper Class - {9896231A-C487-43A5-8369-6EC9B0A96CC0} - C:\WINDOWS\System32\WStart.dll (file missing)
O2 - BHO: (no name) - {EA1FEDA7-8393-4534-8102-A62532B54F7D} - C:\WINDOWS\System32\endakga.dll (file missing)
O3 - Toolbar: (no name) - {44BE0690-5429-47f0-85BB-3FFD8020233E} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ntddetect] C:\WINDOWS\system32\ntddetect.exe
O4 - HKLM\..\Run: [secboot] C:\WINDOWS\system32\mszx23.exe !!
O4 - HKLM\..\RunServices: [ntddetect] C:\WINDOWS\system32\ntddetect.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ntddetect] C:\WINDOWS\system32\ntddetect.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/62.../bridge-c7.cab
O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Bitte Bitte helft mir es wäre so wichtig!

MfG

Thomas

Lass mal folgende Dateien hier checken.Lad sie bitte auch bei www.malwareupload.com hoch.

C:\WINDOWS\system32\ntddetect.exe
C:\WINDOWS\system32\mszx23.exe
C:\WINDOWS\SYSTEM32\drct16.dll

Poste uns jeweils das vollst. Ergebnis.Um den Rest kümmern wir uns später.

Zitat:

Zitat von cronos

Lass mal folgende Dateien hier checken.Lad sie bitte auch bei www.malwareupload.com hoch.

C:\WINDOWS\system32\ntddetect.exe
C:\WINDOWS\system32\mszx23.exe
C:\WINDOWS\SYSTEM32\drct16.dll

Poste uns jeweils das vollst. Ergebnis.Um den Rest kümmern wir uns später.

Ok, diese Dateien konnte ich nicht finden:

Zitat:

C:\WINDOWS\system32\mszx23.exe
C:\WINDOWS\SYSTEM32\drct16.dll

Da ich sie im browser Fenster gar ned gefunden habe, habe ich einfach stupide unter cmd die Dateien versucht auf eine Diskette zu kopieren, das resultat ist das nur die ntddetect.exe kopiert werden konnte.

Das Ergebniss von dieser Page: http://virusscan.jotti.org/de/

Zitat:

Auslastung:
0% 100%
Datei: ntddetect.exe
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
FSG

AntiVir
Keine Viren gefunden (1.10 Sekunden)
Avast
Keine Viren gefunden (1.53 Sekunden)
AVG Antivirus
Keine Viren gefunden (1.02 Sekunden)
BitDefender
Keine Viren gefunden (1.64 Sekunden)
ClamAV
Keine Viren gefunden (0.63 Sekunden)
Dr.Web
Trojan.Proxy.254 (0.93 Sekunden)
F-Prot Antivirus
unknown virus (mögliche Variante) (0.36 Sekunden)
Fortinet
Keine Viren gefunden (1.28 Sekunden)
Kaspersky Anti-Virus
Trojan-Proxy.Win32.Agent.eh (2.97 Sekunden)
mks_vir
Trojan.Proxy.Agent.Eh (0.43 Sekunden)
NOD32
Win32/TrojanProxy.Agent.DL (0.79 Sekunden)
Norman Virus Control
Sandbox: W32/Malware; [ General information ]

* File might be compressed.
* File length: 11137 bytes.

[ Changes to filesystem ]
* Deletes file C:\WINDOWS\SYSTEM\ntddetect.dat.
* Deletes file C:\WINDOWS\SYSTEM\ntddetect.exe.
* Creates file C:\WINDOWS\SYSTEM\ntddetect.exe.
* Creates file C:\WINDOWS\SYSTEM\ntddetect.dat.

[ Changes to registry ]
* Sets value "SysTM"="Cs7ˆ" in key "HKLM\Software\Microsoft".
* Creates value "ntddetect"="WS\SYSTEM\ntddetect.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
* Creates value "ntddetect"="WS\SYSTEM\ntddetect.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices".
* Creates value "ntddetect"="WS\SYSTEM\ntddetect.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".

[ Network services ]
* Looks for an Internet connection.
* Connects to "nicosiamurssnuset.biz" on port 80 (IP).

[ Security issues ]
* Possible backdoor functionality [UNKNOWN] port 4077.

[ Process/window information ]
* Creates a mutex WuW_MeN.
* Will automatically restart after boot (I'll be back...). (37.80 Sekunden)

Statistik
Zuletzt gefundene Malware war probably unknown NewHeur_PE in builder.exe, gefunden von:

Scanner Name der Malware Dauer
AntiVir BDC/VB.abu.1 0.39 Sekunden
Avast X 1.53 Sekunden
AVG Antivirus X 0.60 Sekunden
BitDefender X 0.55 Sekunden
ClamAV Trojan.Runup.10-srv-1 0.61 Sekunden
Dr.Web BackDoor.Simserv 2.56 Sekunden
F-Prot Antivirus security risk or a "backdoor" program 0.76 Sekunden
Fortinet HackerTool/VB.JS 2.51 Sekunden
Kaspersky Anti-Virus Backdoor.Win32.VB.abu 2.12 Sekunden
mks_vir Trojan.Vb.Abu 0.41 Sekunden
NOD32 probably unknown NewHeur_PE 2.01 Sekunden
Norman Virus Control X 2.12 Sekunden

Auf dieser Page (http://www.malwareupload.com) habe ich leider keine zugangsrechte, und kann so leider nicht die ergebnisse posten, wie würdest du nun weiter verfahren?

Ist es nedenklich das ich nur eine der 3 Dateien finden konnte?

MfG

Thomas

@Lama
lade escan
download
anleitung
EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."
poste bitte nächstes mal per poste and copy methode
chaosman

Führe zusätzlich noch den Esan aus:

Zitat:

Zitat von chaosman

@Lama
lade escan
download
anleitung
EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."
poste bitte nächstes mal per poste and copy methode
chaosman

Lade bitte alle noch vorhandenen von mir genannten Dateien bei malwareupload.com hoch.

Aber jede Bereinigung ist sinnlos, sobald du dich mit diesem PC wieder ins Internet begibst.

frage: wie soll ich die .inf datei mit rechtsklick installieren wenn ich keinen rechtsklick habe? weiß da jeman den cmd befehl?

mfG

Zitat:

C:\WINDOWS\system32\ntddetect.exe

das ist dir nicht aufgefallen
Prozess beenden und Datei bei http://virusscan.jotti.org/de/ überprüfen. Ergebnis posten.

btw: C:\WINDOWS\system32\mszx23.exe auch mal checken.

Das zu dieser Datei:

C:\WINDOWS\SYSTEM32\drct16.dll
http://securityresponse.symantec.com...haxdoor.d.html

Diese Exe-Datei gehört mit Sicherheit dazu:
C:\WINDOWS\system32\mszx23.exe

dartus

Zitat:

Zitat von dartus

Das zu dieser Datei:

C:\WINDOWS\SYSTEM32\drct16.dll
http://securityresponse.symantec.com...haxdoor.d.html

Diese Exe-Datei gehört mit Sicherheit dazu:
C:\WINDOWS\system32\mszx23.exe

dartus

Leider finde ich diese beiden Exen nimmer unter meinem System32 Ordner...

kann mir einer helfen ich kann kein rechtklickmachen bei ordner oder dateien dann kommt "windows explorer funktioniert nicht mehr "

danke in vorraus