Hallo!
Plage mich schon eine ganze Zeit mit diesem Pferd herum und hoffe sehr, dass mir jemand helfen kann. Ich war im Netz unterwegs, als ich ploetzlich einen neuen Desktophintergrund bekam und zwei neue Icons, eines mit Herz namens Online Dating oder so aehnlich, eines mit dem Ghostbusters-Zeichen, ab und zu wurde der Bildschirm schwarz und komische Icons erschienen. In der Taskleiste erscheint immer wieder ein Warndreieck, das mich vor einem offenen Port warnt. Ausserdem hatte ich ploetzlich ein Programm namens PSGuard auf dem Rechner installiert??!! Zusaetzlich nervt der Antivir Guard staendig vor einem File mit besagtem Tr.Pferd, der sich aber nicht loeschen laesst. Ich poste Euch mal den Logfile aus Hijackthis - diese Updatesaerch-Seiten lassen sich uebrigens nicht rausloeschen.

---------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 19:39:27, on 06.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\popuper.exe
C:\WINDOWS\System32\msole32.exe
C:\WINDOWS\System32\intmonp.exe
C:\WINDOWS\System32\shnlog.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\intmon.exe
C:\Programme\Zone Alarm\zonealarm.exe
C:\WINDOWS\system32\VCool.exe
C:\Programme\SmartSurfer3.0\SmartSurfer.exe
C:\WINDOWS\slrundll.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Eudora\Eudora.exe
C:\Download\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.updatesearches.com/bar.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.updatesearches.com/search.php?qq=%1
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.updatesearches.com/search.php?qq=%1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://www.updatesearches.com/
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O2 - BHO: VMHomepage Class - {FFFFFFFF-FFFF-FFFF-FFFF-FFFFFFFFFFFA} - C:\WINDOWS\System32\hpD116.tmp
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Startup: VCool.lnk = C:\WINDOWS\system32\VCool.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Alarm\zonealarm.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O13 - WWW. Prefix: http://
O17 - HKLM\System\CCS\Services\Tcpip\..\{26107654-3458-4CCD-8547-008EA144ACC1}: NameServer = 62.104.191.241 62.104.196.134
O21 - SSODL: System - {11BE30B4-16B0-4909-B013-CF22460070F8} - C:\WINDOWS\system32\system32.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

----------------------------------------------


Vielen Dank fuer Eure Hilfe, ich bin wirklich aufgeschmissen!!

Cartman
_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.

LG Cidre
S-Mod TB

Arbeite zunächst folgendes ab:

http://www.trojaner-board.de/showthread.php?t=17863

Melde dich danach mit einem neuen Log.

Hi Cronos!

Habe die Liste abgearbeitet, und Antivir meldet sich nicht mehr mit dem Pferd. Ausserdem taucht die entsprechende hp***.tmp-Datei nicht mehr bei HijackThis auf. Sie liegt allerdings noch im System32-Verzeichnis. Deswegen auch meine Frage zu Deiner Anleitung:
----------------
Nachtrag:

In einer neueren Version werden noch folgende Ordner im Systemordner erstellt (z.B: C:\Windows\System32)

%systemroot%\system32\shnlog.exe
%systemroot%\system32\intmon.exe
%systemroot%\system32\msmsgs.exe
%systemroot%\system32\hhk.dll
%systemroot%\system32\hp***.tmp <- *** sind zufällig generierte Zeichen.

Der .tmp Ordner wird als BHO installiert und „hijacked“ den Browser nach quicknavigate.com .

Nachdem es sich selbst installiert hat, werden alle vorhandenen BHOs gelöscht.

--------------

Soll das heissen, dass ich alle, die bei mir auf dem Rechner liegen (das sind die ersten und letzten beiden Dateien), einfach loeschen soll? Tun die noch was? Brauche ich dazu die Killbox?
Hier noch mein Hijackthis-Logfile:

------------------

Logfile of HijackThis v1.99.1
Scan saved at 21:37:49, on 06.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Alarm\zonealarm.exe
C:\WINDOWS\system32\VCool.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\msiexec.exe
C:\Programme\SmartSurfer3.0\SmartSurfer.exe
C:\WINDOWS\slrundll.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Download\Virus\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Startup: VCool.lnk = C:\WINDOWS\system32\VCool.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Alarm\zonealarm.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O13 - WWW. Prefix: http://
O17 - HKLM\System\CCS\Services\Tcpip\..\{26107654-3458-4CCD-8547-008EA144ACC1}: NameServer = 195.71.150.69 193.189.244.205
O21 - SSODL: System - {11BE30B4-16B0-4909-B013-CF22460070F8} - C:\WINDOWS\system32\system32.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

-----------------

VIELEN DANK schonmal nach Siegen!!

Cartman

@cartman04
lasse diese dateien
%systemroot%\system32\hhk.dll
C:\WINDOWS\system32\system32.dll
hier überprüfen http://virusscan.jotti.org/de/

und poste das ergebnis

guckst du hier
http://www.sophos.de/virusinfo/analyses/trojpuperd.html

die dateien kannst du in den abgesicherten modus löschen
%systemroot%\system32\shnlog.exe
%systemroot%\system32\intmon.exe
%systemroot%\system32\hp***.tmp <- *** sind zufällig generierte Zeichen.

btw: system und IE mal updaten

chaosman

Hi Chaosman,

danke fuer Deine Muehe. Habe "hhk.dll" uebers Netz pruefen lassen, ist okay. Beim Hochladen von "system32.dll" kommt die Meldung:

"The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file"

Die Datei ist tatsaechlich 0kb gross. Was ist zu tun?

Die von Dir genannten drei Dateien werde ich im abgesicherten Modus loeschen.

Merci!

Cartman

Zitat:

Zitat von cartman04

"The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file"

Beende den Prozess im Taskmanager und lade die Datei erneut hoch.
Teile uns das vollständige Ergebnis mit.

Diese Datei:

hhk.dll

Solltest du in diesem Fall dennoch löschen.

Danke, Cronos!

Stehe aber auf dem Schlauch! Welchen Prozess soll ich denn im Taskmanager beenden? Die Datei "system32.dll" sehe ich da nicht aktiv.

"hhk.dll" werde ich loeschen.

Merci,

Cartman

Die system32.dll solltest du auch bedenkenlos löschen können.
Poste danach ein neues Logfile.

Hallo Leute,

habe sowohl "hhk.dll" als auch "system32.dll" geloescht. Letztere taucht allerdings als "file missing" im Logfile auf, den ich Euch hiermit schicke.

Danke fuers Durchschauen,

Cartman


---------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 19:13:13, on 07.06.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Alarm\zonealarm.exe
C:\WINDOWS\system32\VCool.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\SmartSurfer3.0\SmartSurfer.exe
C:\WINDOWS\slrundll.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Download\Virus\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Startup: VCool.lnk = C:\WINDOWS\system32\VCool.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Alarm\zonealarm.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O13 - WWW. Prefix: http://
O17 - HKLM\System\CCS\Services\Tcpip\..\{26107654-3458-4CCD-8547-008EA144ACC1}: NameServer = 62.104.191.241 62.104.196.134
O21 - SSODL: System - {11BE30B4-16B0-4909-B013-CF22460070F8} - C:\WINDOWS\system32\system32.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Lade mal folgende Datei:

C:\WINDOWS\system32\VCool.exe

bei jotti hoch:

C:\WINDOWS\system32\VCool.exe

Hi Cronos,

Vcool.exe ist okay, habs gecheckt. Ist ein Programm, dass den Prozessorkuehler regelt.
Ist sonst alles in Ordnung oder koennt Ihr noch was erspaehen?

Mein System scheint jedenfalls gut zu laufen.

Thanks,

Cartman

Fixe bitte wie beschrieben im abgesicherten Modus bei deaktivierter Systemwiederherstellung folgendene Einträge:

F2 - REG:system.ini: Shell=Explorer.exe, msmsgs.exe
O13 - WWW. Prefix: http://
O21 - SSODL: System - {11BE30B4-16B0-4909-B013-CF22460070F8} - C:\WINDOWS\system32\system32.dll (file missing)

Führe zusätzlich wie im Smitfraud-Thread beschrieben einen Virenscan mit Escan durch und teile uns die Ergebnisse mit.

Hilfe Mein PC ist auch mit diesem Trojaner befallen.
Wie sollte man jetzt geanu vorgehen um dieses nervende Monster loszuwerden?