Hallo zusammen,

ich komme grade von einer Lan auf der ich mit meinem Offline Rechner war. Auf der Lan hatten wir auch Internet zu Verfügung und da cih kurz was suchen wollte ging ich mit meinem "nackten" ungeschützten Zockerrechner schnell ins Inet und habe mir so wohl einen dreckigen Wurm eingefangen :-(

Das ganze schaut jetzt so aus das ich keinen rechtsklick mehr machen kann, egal ob auf dem Desktop oder ebn auf eine File, Rechtsklick ist nicht mehr. Nun, ich dachte ich könnte das relativ simpel lösen mit dem Trick: Einstellungen--->Anzeige--->Desktop--->Desktop anpassen--->Web und eben da das häcken weg machen bei dem "Die derzeitige Homepage anzeige". Leider weit gefehlt, nutzen tut das alles nichts.

Naja die weitere Leidensgeschichte sah dann so aus:

-Ad-Aware durchlaufen lassen ---> erfolgslos!
-AntiVir durchlaufen lassen ---> nix gebracht!
-SP2 installieren ---> tjo, mann kann sichs denken!
-Stinger antreten lassen ---> Null Reaktion!

Ich bin so ziemlich das erste mal am Ende mit meinem Alphabet, laut msconfig und diversen Reg einträgen deutete alles auf eine "Keep.exe" hin, die wurde aber mit KillBox in die ewigen Jagdgründe geschickt, das gerne gescholtene "svchost" dürfte auch schuldlos sein, 3 Virenengines täuschen ned!

Im netz habe ich einige hinweise auf irgendeinen .com virus gefunden, keine ahnung ob ich da eine echte verbindung mit herstellen kann, höhrt sich für mich nach einer ziemlich belanglosen vermutung an, mein Bruder vermutete hinter dem ganzen den ollen Blaster, Sorry, spätestens ab dem SP 2 Update wäre der doch legende und dieser bezieht sich primär ja auf das Shutdown -a Debakel.

Ehrlich, so dumm es sich anhöhrt: Ich weiß nun wirklich ned was los ist, oder besser gesagt wie ich den killen könnte, kann sein das ich ja haarscharf an der Lösung vorbeigeschlittert bin, wenn ja, bitte lasst es mich wissen und schaut mal wie weit ihr helfen könnt, wäre euch da doch sehr sehr dankbar

Ich könnte vor Wut echt platzen, weiß einfach nicht mehr weiter, Neu aufsetzen kann ich nicht wirklich machen da dies bei mir mit Tagelanger Arbeit und somit tonnenweise Zeit verbunden wäre die ich aber unter keinen Umständen zu Verfügung stellen kann. Bitte Bitte Bitte Helft mir, ich komme echt nicht mehr weiter!

MfG



Thomas

€dit: Was ich vielleicht vergessen habe zu sagen: kein rechtsklick mehr egal wo, wenn man mit der rechten Maustaste klickt dann ist es wie wenn man den Markierungsrahmen um symbole ziehen will!

Achja noch ein Update der Tools die ich mehrmals im IntensivModus durchlaufen habe lassen:

-HiJack This
-Stinger
-AntiVir
-Sophos
-Mc Afee Antivir
-Spybot

Nix hat was gebracht!

Dann poste mal einen Log von Hijackthis.

Zitat:

Zitat von cronos

Dann poste mal einen Log von Hijackthis.

Bitteschön.....

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 14:10:19, on 28.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ntddetect.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\WINZIP\wzqkpick.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\AcroReader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1EC49166-74FC-0803-D38E-52404EEEADCC} - C:\WINDOWS\System32\qqb.dll
O2 - BHO: WHttpHelper Class - {9896231A-C487-43A5-8369-6EC9B0A96CC0} - C:\WINDOWS\System32\WStart.dll (file missing)
O2 - BHO: (no name) - {EA1FEDA7-8393-4534-8102-A62532B54F7D} - C:\WINDOWS\System32\endakga.dll (file missing)
O3 - Toolbar: (no name) - {44BE0690-5429-47f0-85BB-3FFD8020233E} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ntddetect] C:\WINDOWS\system32\ntddetect.exe
O4 - HKLM\..\Run: [secboot] C:\WINDOWS\system32\mszx23.exe !!
O4 - HKLM\..\RunServices: [ntddetect] C:\WINDOWS\system32\ntddetect.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ntddetect] C:\WINDOWS\system32\ntddetect.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/62.../bridge-c7.cab
O20 - Winlogon Notify: drct16 - C:\WINDOWS\SYSTEM32\drct16.dll
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Bitte Bitte helft mir es wäre so wichtig!

MfG

Thomas

Lass mal folgende Dateien hier checken.Lad sie bitte auch bei www.malwareupload.com hoch.

C:\WINDOWS\system32\ntddetect.exe
C:\WINDOWS\system32\mszx23.exe
C:\WINDOWS\SYSTEM32\drct16.dll

Poste uns jeweils das vollst. Ergebnis.Um den Rest kümmern wir uns später.

@Lama
lade escan
download
anleitung
EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."
poste bitte nächstes mal per poste and copy methode
chaosman

Zitat:

C:\WINDOWS\system32\ntddetect.exe

das ist dir nicht aufgefallen
Prozess beenden und Datei bei http://virusscan.jotti.org/de/ überprüfen. Ergebnis posten.

btw: C:\WINDOWS\system32\mszx23.exe auch mal checken.

Das zu dieser Datei:

C:\WINDOWS\SYSTEM32\drct16.dll
http://securityresponse.symantec.com...haxdoor.d.html

Diese Exe-Datei gehört mit Sicherheit dazu:
C:\WINDOWS\system32\mszx23.exe

dartus

Zitat:

Zitat von cronos

Lass mal folgende Dateien hier checken.Lad sie bitte auch bei www.malwareupload.com hoch.

C:\WINDOWS\system32\ntddetect.exe
C:\WINDOWS\system32\mszx23.exe
C:\WINDOWS\SYSTEM32\drct16.dll

Poste uns jeweils das vollst. Ergebnis.Um den Rest kümmern wir uns später.

Ok, diese Dateien konnte ich nicht finden:

Zitat:

C:\WINDOWS\system32\mszx23.exe
C:\WINDOWS\SYSTEM32\drct16.dll

Da ich sie im browser Fenster gar ned gefunden habe, habe ich einfach stupide unter cmd die Dateien versucht auf eine Diskette zu kopieren, das resultat ist das nur die ntddetect.exe kopiert werden konnte.

Das Ergebniss von dieser Page: http://virusscan.jotti.org/de/

Zitat:

Auslastung:
0% 100%
Datei: ntddetect.exe
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
FSG

AntiVir
Keine Viren gefunden (1.10 Sekunden)
Avast
Keine Viren gefunden (1.53 Sekunden)
AVG Antivirus
Keine Viren gefunden (1.02 Sekunden)
BitDefender
Keine Viren gefunden (1.64 Sekunden)
ClamAV
Keine Viren gefunden (0.63 Sekunden)
Dr.Web
Trojan.Proxy.254 (0.93 Sekunden)
F-Prot Antivirus
unknown virus (mögliche Variante) (0.36 Sekunden)
Fortinet
Keine Viren gefunden (1.28 Sekunden)
Kaspersky Anti-Virus
Trojan-Proxy.Win32.Agent.eh (2.97 Sekunden)
mks_vir
Trojan.Proxy.Agent.Eh (0.43 Sekunden)
NOD32
Win32/TrojanProxy.Agent.DL (0.79 Sekunden)
Norman Virus Control
Sandbox: W32/Malware; [ General information ]

* File might be compressed.
* File length: 11137 bytes.

[ Changes to filesystem ]
* Deletes file C:\WINDOWS\SYSTEM\ntddetect.dat.
* Deletes file C:\WINDOWS\SYSTEM\ntddetect.exe.
* Creates file C:\WINDOWS\SYSTEM\ntddetect.exe.
* Creates file C:\WINDOWS\SYSTEM\ntddetect.dat.

[ Changes to registry ]
* Sets value "SysTM"="Cs7ˆ" in key "HKLM\Software\Microsoft".
* Creates value "ntddetect"="WS\SYSTEM\ntddetect.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\Run".
* Creates value "ntddetect"="WS\SYSTEM\ntddetect.exe" in key "HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices".
* Creates value "ntddetect"="WS\SYSTEM\ntddetect.exe" in key "HKCU\Software\Microsoft\Windows\CurrentVersion\Run".

[ Network services ]
* Looks for an Internet connection.
* Connects to "nicosiamurssnuset.biz" on port 80 (IP).

[ Security issues ]
* Possible backdoor functionality [UNKNOWN] port 4077.

[ Process/window information ]
* Creates a mutex WuW_MeN.
* Will automatically restart after boot (I'll be back...). (37.80 Sekunden)

Statistik
Zuletzt gefundene Malware war probably unknown NewHeur_PE in builder.exe, gefunden von:

Scanner Name der Malware Dauer
AntiVir BDC/VB.abu.1 0.39 Sekunden
Avast X 1.53 Sekunden
AVG Antivirus X 0.60 Sekunden
BitDefender X 0.55 Sekunden
ClamAV Trojan.Runup.10-srv-1 0.61 Sekunden
Dr.Web BackDoor.Simserv 2.56 Sekunden
F-Prot Antivirus security risk or a "backdoor" program 0.76 Sekunden
Fortinet HackerTool/VB.JS 2.51 Sekunden
Kaspersky Anti-Virus Backdoor.Win32.VB.abu 2.12 Sekunden
mks_vir Trojan.Vb.Abu 0.41 Sekunden
NOD32 probably unknown NewHeur_PE 2.01 Sekunden
Norman Virus Control X 2.12 Sekunden

Auf dieser Page (http://www.malwareupload.com) habe ich leider keine zugangsrechte, und kann so leider nicht die ergebnisse posten, wie würdest du nun weiter verfahren?

Ist es nedenklich das ich nur eine der 3 Dateien finden konnte?

MfG

Thomas

Zitat:

Zitat von dartus

Das zu dieser Datei:

C:\WINDOWS\SYSTEM32\drct16.dll
http://securityresponse.symantec.com...haxdoor.d.html

Diese Exe-Datei gehört mit Sicherheit dazu:
C:\WINDOWS\system32\mszx23.exe

dartus

Leider finde ich diese beiden Exen nimmer unter meinem System32 Ordner...

Dazu:

Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren.
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Edit: Gib eine emaildresse bei malwareupload.com an dann solltest du Zugangsrechte bekommen.

Hallo,

C:\WINDOWS\SYSTEM\ntddetect.dat
[ Network services ]
* Looks for an Internet connection.
* Connects to "nicosiamurssnuset.biz" on port 80 (IP).
[ Security issues ]
* Possible backdoor functionality [UNKNOWN] port 4077.
http://en.wikipedia.org/wiki/Botnet

Aufgrund dieser Tatsache mein Rat:

Empfohlene Anleitung zur Neuinstallation

http://www.trojaner-board.de/showthread.php?t=12154

Thema Datensicherung:

http://www.trojaner-board.de/showpos...8&postcount=11

Das kann passieren:
http://www.trojaner-board.com/showthread.php?t=14669
http://www.heise.de/newsticker/meldung/57030
http://www.heise.de/newsticker/meldung/51689

sry
dartus

Zitat:

Zitat von cronos

Dazu:

Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Versteckte Dateien und Ordner-> "alle Dateien und Ordner anzeigen" aktivieren.
Im Windows-Explorer->Extras->Ordneroptionen->den Reiter "Ansicht"->Dateien und Ordner-> "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren.

Edit: Gib eine emaildresse bei malwareupload.com an dann solltest du Zugangsrechte bekommen.

Sorry, aber das bringt alles nichts, die Dateien sind nicht mehr da, jedoch ist mir noch was aufgefallen: Auf C:\ (also auch da wo Windows installiert ist) ist aufeinmal ein Ordner namens "Desktop" (ohne anführungsstriche) der unlöschbar ist, es wird behauptet das dieser ein wichtiger bestandteil von Windows sei!

Nochmal zud en 2 fehlenden Dateien: Die müssen bei irgendwelchen AV programmen gelöscht worden sein, hier ein absolut aktueller HighJack Log:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 22:56:00, on 28.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ntddetect.exe
J:\Spiele\FC\Bin32\FarCry.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\cmd.exe
C:\DOKUME~1\Thomas\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchcentral.cc/index.php?v=4&aff=3131
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\AcroReader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ntddetect] C:\WINDOWS\system32\ntddetect.exe
O4 - HKLM\..\RunServices: [ntddetect] C:\WINDOWS\system32\ntddetect.exe
O4 - HKCU\..\Run: [ntddetect] C:\WINDOWS\system32\ntddetect.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted IP range: 67.19.185.246
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

MfG

Thomas

Zitat:

Zitat von dartus

Hallo,

C:\WINDOWS\SYSTEM\ntddetect.dat
[ Network services ]
* Looks for an Internet connection.
* Connects to "nicosiamurssnuset.biz" on port 80 (IP).
[ Security issues ]
* Possible backdoor functionality [UNKNOWN] port 4077.
http://en.wikipedia.org/wiki/Botnet

Aufgrund dieser Tatsache mein Rat:

Empfohlene Anleitung zur Neuinstallation

http://www.trojaner-board.de/showthread.php?t=12154

Thema Datensicherung:

http://www.trojaner-board.de/showpos...8&postcount=11

Das kann passieren:
http://www.trojaner-board.com/showthread.php?t=14669
http://www.heise.de/newsticker/meldung/57030
http://www.heise.de/newsticker/meldung/51689

sry
dartus

Es muss doch wirklich noch einen Ausweg geben, das kanns doch wohl irgendwo ned sein?!?!

Bitte Bitte sagt mir das das ned wahr ist!

mfG

€dit: Der infizierte rechner hängt nicht am Internet! Er war nur kurz auf Lan im Internet sonst gar nicht!

Wenn du dein System nicht mehr (auch nicht ganz kurz) ans Internet, bzw. ein anderes Netzwerk anschließt (LANs etc.) können wir eine Bereinigung versuchen.


Führe das aus, was hier beschrieben ist.

Fixe im abgesicherten Modus mit HjT:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchcentral.cc/index.php?v=4&aff=3131
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
O4 - HKLM\..\Run: [ntddetect] C:\WINDOWS\system32\ntddetect.exe
O4 - HKLM\..\RunServices: [ntddetect] C:\WINDOWS\system32\ntddetect.exe
O4 - HKCU\..\Run: [ntddetect] C:\WINDOWS\system32\ntddetect.exe


Lösche manuell:
C:\WINDOWS\system32\ntddetect.exe


PS: Das gilt wirklich nur dann, wenn du dein System von allen Netzwerken fern hältst!

Zitat:

Zitat von Haui45

Wenn du dein System nicht mehr (auch nicht ganz kurz) ans Internet, bzw. ein anderes Netzwerk anschließt (LANs etc.) können wir eine Bereinigung versuchen.


Führe das aus, was hier beschrieben ist.

Fixe im abgesicherten Modus mit HjT:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchcentral.cc/index.php?v=4&aff=3131
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *hot-searches.com*;*lender-search.com*
O4 - HKLM\..\Run: [ntddetect] C:\WINDOWS\system32\ntddetect.exe
O4 - HKLM\..\RunServices: [ntddetect] C:\WINDOWS\system32\ntddetect.exe
O4 - HKCU\..\Run: [ntddetect] C:\WINDOWS\system32\ntddetect.exe


Lösche manuell:
C:\WINDOWS\system32\ntddetect.exe


PS: Das gilt wirklich nur dann, wenn du dein System von allen Netzwerken fern hältst!

Ok, Es handelt sich bei dem Ding nur um einen absoluten Offline Spiele rechner, soll heißen er ist weg vom Netz, vielen Dank ich werde es nun testen und sobald wie möglich bericht erstatten ob es was gebracht hat.

BIG THX