Bitte reinschauen und gucken WAS raus muss...

bUUsenlilly · 07.04.2005, 15:32

Hir, Danke im Voraus...

Logfile of HijackThis v1.99.0
Scan saved at 16:30:24, on 07.04.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.51 SP2 (5.51.4807.2300)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Norton Systemworks 2004 Pro\Norton Ghost\GhostStartService.exe
C:\Programme\Norton Systemworks 2004 Pro\Norton Antivirus\navapsvc.exe
C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\oodag.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
C:\WINNT\system32\stisvc.exe
C:\WINNT\system32\ZoneLabs\vsmon.exe
C:\WINNT\Explorer.EXE
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Microsoft Hardware\Mouse\point32.exe
C:\PROGRA~1\ZONEAL~1.553\zlclient.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\winnt\bdxooao.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
H:\Downloads\hijackthis199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://daosearch.com/index.php?id=585&said=nicket_m
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Systemworks 2004 Pro\Norton Antivirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Systemworks 2004 Pro\Norton Antivirus\NavShExt.dll
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Lexmark X74-X75] REM "C:\Programme\Lexmark X74-X75\lxbbbmgr.exe"
O4 - HKLM\..\Run: [POINTER] C:\Programme\Microsoft Hardware\Mouse\point32.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONEAL~1.553\zlclient.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ICQ Lite] REM C:\Programme\ICQ Lite 4.1\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Service Host] C:\WINNT\system32\Services\{4A285747-5D0B-4E96-B31F-7EC68A12A608}\SVCHOST.EXE
O4 - HKLM\..\Run: [KAV50] "C:\Programme\Kaspersky\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0 -chkss
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [Steam] REM "d:\cstrike\steam.exe" -silent
O4 - HKCU\..\Run: [CTFMON32] C:\WINNT\system32\CTFMON32.EXE
O4 - HKCU\..\Run: [CSRSSU] C:\WINNT\system32\CSRSSU.EXE
O4 - HKCU\..\Run: [xset] C:\WINNT\system32\xset\wubmiklp.exe
O4 - HKCU\..\Run: [athukmc] c:\winnt\bhwndrt.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP5~1.3\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP5~1.3\dapextie2.htm
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ Lite 4.1\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ Lite 4.1\ICQLite.exe
O9 - Extra button: Microsoft AntiSpyware helper - {40D98F05-02C4-41A8-9817-D2F568814623} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {40D98F05-02C4-41A8-9817-D2F568814623} - (no file) (HKCU)
O17 - HKLM\System\CCS\Services\Tcpip\..\{7900AC05-EC64-4F48-BFA2-DFD33F878F24}: NameServer = 217.237.150.225 217.237.150.141
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINNT\system32\vbsys2.dll (file missing)
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Norton Systemworks 2004 Pro\Norton Ghost\GhostStartService.exe
O23 - Service: Kaspersky Anti-Virus Service - Kaspersky Lab - C:\Programme\Kaspersky\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
O23 - Service: LexBce Server - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton Systemworks 2004 Pro\Norton Antivirus\navapsvc.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINNT\system32\oodag.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton Systemworks 2004 Pro\Norton Antivirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINNT\system32\ZoneLabs\vsmon.exe

cacatoa · 07.04.2005, 19:27

Hi,
bitte mach folgendes, bevor wir mit der Entfernung diverser Würmer, Trojaner und Viren beginnen:
Lasse folgende Dateien bei Jotti online scannen und berichte das Ergebnis:
C:\WINNT\system32\xset\wubmiklp.exe
c:\winnt\bhwndrt.exe
C:\winnt\bdxooao.exe
Bitte tu uns den Gefallen und checke sie auch bei "malware upload" (siehe meine Signatur). Danke.
cacatoa

bUUsenlilly · 08.04.2005, 14:56

also:

C:\WINNT\system32\xset\wubmiklp.exe

---is ned zu finden

c:\winnt\bhwndrt.exe

Auslastung: 0% 100%

Datei: bhwndrt.exe
Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: UPX

AntiVir TR/StartPage.QP gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
mks_vir Keine Viren gefunden
NOD32 probably unknown NewHeur_PE gefunden (mögliche Variante)
Norman Virus Control Keine Viren gefunden
VBA32 Keine Viren gefunden

C:\winnt\bdxooao.exe

Auslastung: 0% 100%

Datei: bdxooao.exe
Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: UPX

AntiVir TR/StartPage.QP gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Keine Viren gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Keine Viren gefunden
mks_vir Keine Viren gefunden
NOD32 probably unknown NewHeur_PE gefunden (mögliche Variante)
Norman Virus Control Keine Viren gefunden
VBA32 Keine Viren gefunden

Chris14 · 08.04.2005, 15:11

dann führe mal dass aus:

1.escan
-lade dir escan runter und gehe genau nach dieser Anleitung vor

2.einträge löschen
-fixe mit HijackThis diese einträge:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://daosearch.com/index.php?id=585&said=nicket_m
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O4 - HKLM\..\Run: [Service Host] C:\WINNT\system32\Services\{4A285747-5D0B-4E96-B31F-7EC68A12A608}\SVCHOST.EXE
O4 - HKCU\..\Run: [CTFMON32] C:\WINNT\system32\CTFMON32.EXE
O4 - HKCU\..\Run: [CSRSSU] C:\WINNT\system32\CSRSSU.EXE
O4 - HKCU\..\Run: [xset] C:\WINNT\system32\xset\wubmiklp.exe
O4 - HKCU\..\Run: [athukmc] c:\winnt\bhwndrt.exe
O9 - Extra button: Microsoft AntiSpyware helper - {40D98F05-02C4-41A8-9817-D2F568814623} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {40D98F05-02C4-41A8-9817-D2F568814623} - (no file) (HKCU)
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINNT\system32\vbsys2.dll (file missing)

3.dateien löschen
-lösche die dateien CTFMON32.EXE und CSRSSU.EXE im ordner c:\winnt\system32
-lösche die datei SVCHOST.EXE im ordner C:\WINNT\system32\Services\{4A285747-5D0B-4E96-B31F-7EC68A12A608} (nur in diesem keinem anderem)
-lösche die datei wubmiklp.exe im ordner C:\WINNT\system32\xset\
-lösche die datei bhwndrt.exe im ordner c:\winnt\
-lösche natürlich auch alle von escan beanstandeten dateien (alle infected)
(falls die dateien nicht angezeigt werden gehe so vor:
klicke auf extras, dann auf ordneroptionen
klicke auf ansicht
mach den haken bei "geschützte systemdateien ausblenden" weg
mach nen haken bei "inhalte von systemordnern anzeigen" hin
selektiere "alle dateien und ordner anzeigen")

4.ergebnisse
-gehe wieder in den normalen modus
-öffne die datei mwav.log,klicke auf bearbeiten dann auf suchen
-gebe infected ein
-suche weiter,markiere die treffer und kopiere sie ins forum
-poste ein neues HijackThis log

Bitte reinschauen und gucken WAS raus muss...

Log-Analyse und Auswertung: Bitte reinschauen und gucken WAS raus muss...