virenbefall

donp · 27.08.2005, 19:18

Hi...

ich bitte um Hilfe. Auf meinem PC mit XP System haben sich anscheinend diverse Viren ausgebreitet. Antivir hat schon einige dutzend gefunden, kann sie anscheinend aber nicht löschen oder es bilden sich gleich neue.

Ich habe einen schwarzen Desktop auf dem steht:
Warning your computer might be infected with spy ware click here...

Ich bin in der ganzen Sache nicht so bewandert. Vielleicht hilft der Hijock Logfile.

Wäre super wenn mir jemand einen Tip geben kann, wie ich das ganze angehe.

MFG
Philip

Logfile of HijackThis v1.99.0
Scan saved at 20:06:19, on 27.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
F:\AntiVir\AVGUARD.EXE
F:\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\System32\nvsvc32.exe
F:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
F:\AntiVir\AVSched32.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
F:\AntiVir\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Internet Explorer\IExplore.exe
F:\Firefox\firefox.exe
F:\xoftspy\XoftSpy.exe
C:\WINDOWS\System32\taskmgr.exe
F:\high jack\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AVSCHED32] F:\AntiVir\AVSched32.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] F:\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FastStart] C:\WINDOWS\system32\svcnut32.exe home
O4 - HKLM\..\Run: [Outpost Firewall] F:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\System32\pimuaaaa.exe
O4 - HKLM\..\Run: [aenhjbqi] C:\WINDOWS\System32\aenhjbqi.exe
O4 - HKCU\..\Run: [CSRSSW] C:\WINDOWS\System32\CSRSSW.EXE
O4 - HKCU\..\Run: [CTFMONSS] C:\WINDOWS\System32\CTFMONSS.EXE
O4 - HKCU\..\Run: [egldqfv] c:\windows\nobkdap.exe
O4 - HKCU\..\Run: [syhkcmu] c:\windows\nobkdap.exe
O4 - HKCU\..\Run: [aenhjbqi] C:\WINDOWS\System32\aenhjbqi.exe
O4 - HKCU\..\Run: [gfojloq] c:\windows\trmqlic.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\System32\pimuaaaa.exe
O4 - Startup: winupdate54107892[1].exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\icq\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\icq\ICQLite\ICQLite.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - F:\OUTPOS~1\OUTPOS~1.0\trash.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - F:\OUTPOS~1\OUTPOS~1.0\trash.exe (file missing) (HKCU)
O9 - Extra button: Microsoft AntiSpyware helper - {7C91D97C-3374-4C21-BDFF-77795F02CE92} - C:\WINDOWS\System32\wldr.dll (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {7C91D97C-3374-4C21-BDFF-77795F02CE92} - C:\WINDOWS\System32\wldr.dll (file missing) (HKCU)
O15 - Trusted Zone: http://www.thelivingend.com.au
O16 - DPF: {1463F045-0285-4607-BD3F-4B954E440E52} - http://216.118.71.185/1/rdgFR1828.exe
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/05762cb3c295eb374d15/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121955281062
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9218CA55-DB1F-4B49-A4C1-1131658B19E1}: NameServer = 192.168.2.1
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - F:\AntiVir\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - F:\AntiVir\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: McAfee SecurityCenter Update Manager - Networks Associates Technology, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: Intel NCS NetService - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service - Agnitum - F:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe
_____________
Anm.
Aktive Links editiert!
Beachte zukünftig die Hinweise dieser Anleitung: HiJackThis.

LG Cidre
S-Mod TB

Chris14 · 27.08.2005, 19:26

das hört sich nach Smitfraud/PSGuard an.
Führe diese Anleitung durch.
Du solltest auch Windows XP Service Pack 2 installieren.

lass diese dateien bei http://virusscan.jotti.org/de überprüfen und poste das ergebnis:
C:\WINDOWS\System32\pimuaaaa.exe
C:\WINDOWS\System32\aenhjbqi.exe
c:\windows\nobkdap.exe
c:\windows\trmqlic.exe
c:\windows\system32\winupdate54107892[1].exe

fixe dann diese einträge:
O4 - HKLM\..\Run: [FastStart] C:\WINDOWS\system32\svcnut32.exe home
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\System32\pimuaaaa.exe
O4 - HKLM\..\Run: [aenhjbqi] C:\WINDOWS\System32\aenhjbqi.exe
O4 - HKCU\..\Run: [CSRSSW] C:\WINDOWS\System32\CSRSSW.EXE
O4 - HKCU\..\Run: [CTFMONSS] C:\WINDOWS\System32\CTFMONSS.EXE
O4 - HKCU\..\Run: [egldqfv] c:\windows\nobkdap.exe
O4 - HKCU\..\Run: [syhkcmu] c:\windows\nobkdap.exe
O4 - HKCU\..\Run: [aenhjbqi] C:\WINDOWS\System32\aenhjbqi.exe
O4 - HKCU\..\Run: [gfojloq] c:\windows\trmqlic.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\System32\pimuaaaa.exe
O4 - Startup: winupdate54107892[1].exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - F:\OUTPOS~1\OUTPOS~1.0\trash.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - F:\OUTPOS~1\OUTPOS~1.0\trash.exe (file missing) (HKCU)
O9 - Extra button: Microsoft AntiSpyware helper - {7C91D97C-3374-4C21-BDFF-77795F02CE92} - C:\WINDOWS\System32\wldr.dll (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {7C91D97C-3374-4C21-BDFF-77795F02CE92} - C:\WINDOWS\System32\wldr.dll (file missing) (HKCU)
O16 - DPF: {1463F045-0285-4607-BD3F-4B954E440E52} - h**p://216.118.71.185/1/rdgFR1828.exe

lösche diese dateien im abgesicherten modus:
C:\WINDOWS\system32\svcnut32.exe
C:\WINDOWS\System32\pimuaaaa.exe
C:\WINDOWS\System32\aenhjbqi.exe
c:\windows\nobkdap.exe
c:\windows\trmqlic.exe
c:\windows\system32\winupdate54107892[1].exe
C:\WINDOWS\System32\CTFMONSS.EXE
C:\WINDOWS\System32\CSRSSW.EXE

neues HJT-Logfile Posten
_____________
Anm.
Aktive Links editiert!

LG Cidre
S-Mod TB

donp · 28.08.2005, 13:01

Hi...erst einmal danke für die Antwort. Ich musste das Betriebssystem neu raufspielen, da der pc mich nicht mehr reingelassen hat.

Ich habe die anleitungen abgearbeitet, so weit es ging. I habe nur viele von den dateien gar nicht erst gefunden. Es laufen nur immer mehr systeme. das neue hijack ist folgendes:

Logfile of HijackThis v1.99.0
Scan saved at 13:53:47, on 28.08.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
F:\high jack\HijackThis.exe

F3 - REG:win.ini: run=C:\WINDOWS\System32\jgisiaaa.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Acrobat\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [AVSCHED32] F:\AntiVir\AVSched32.EXE /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] F:\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [FastStart] C:\WINDOWS\system32\svcnut32.exe home
O4 - HKLM\..\Run: [Outpost Firewall] F:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\System32\jgisiaaa.exe
O4 - HKLM\..\Run: [vucmywol] C:\WINDOWS\System32\vucmywol.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKCU\..\Run: [CSRSSW] C:\WINDOWS\System32\CSRSSW.EXE
O4 - HKCU\..\Run: [egldqfv] c:\windows\nobkdap.exe
O4 - HKCU\..\Run: [syhkcmu] c:\windows\nobkdap.exe
O4 - HKCU\..\Run: [aenhjbqi] C:\WINDOWS\System32\aenhjbqi.exe
O4 - HKCU\..\Run: [gfojloq] c:\windows\trmqlic.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\System32\jgisiaaa.exe
O4 - HKCU\..\Run: [nqqqgxx] c:\windows\fgkopya.exe
O4 - HKCU\..\Run: [vucmywol] C:\WINDOWS\System32\vucmywol.exe
O4 - HKCU\..\Run: [emdivcg] c:\windows\fgkopya.exe
O4 - HKCU\..\Run: [nmogrxs] c:\windows\pohmsxn.exe
O4 - HKCU\..\Run: [rlropxt] c:\windows\pohmsxn.exe
O4 - HKCU\..\Run: [yrqkkxc] c:\windows\pohmsxn.exe
O4 - HKCU\..\Run: [unrrhid] c:\windows\pohmsxn.exe
O4 - HKCU\..\Run: [lsporne] c:\windows\nmhlciy.exe
O4 - Startup: winupdate54107892[1].exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\icq\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\icq\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O15 - Trusted Zone: http://www.thelivingend.com.au
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/05762cb3...dxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1121955281062
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/...ampx_en_dl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9218CA55-DB1F-4B49-A4C1-1131658B19E1}: NameServer = 192.168.2.1
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - F:\AntiVir\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - F:\AntiVir\AVWUPSRV.EXE
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: McAfee SecurityCenter Update Manager - Networks Associates Technology, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: Intel NCS NetService - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Outpost Firewall Service - Agnitum - F:\PROGRA~1\Agnitum\OUTPOS~1.0\outpost.exe

kannst Du mir bitte sagen, welche ich rausschmeissen kann und welche nicht!

Danke für die Hilfe!

Chris14 · 28.08.2005, 13:09

ohgott.. warum hast du nicht gepostet dass du neuinstallieren willst.. jetzt ist die lage eventuell noch schlimmer..
backdoor - neuinstallation! (noch wissen wir das nicht, aber wer weiß..)
jetzt führst du erstmal den rest dieser Anleitung ab 1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen durch.
danach wie bereits geschrieben auf SP2 updaten.
dann diese dateien bei virusscan.jotti.org überprüfen lassen und das ergebnis posten:
C:\WINDOWS\System32\jgisiaaa.exe
C:\WINDOWS\System32\vucmywol.exe
c:\windows\nobkdap.exe
C:\WINDOWS\System32\aenhjbqi.exe
c:\windows\trmqlic.exe
c:\windows\fgkopya.exe
c:\windows\pohmsxn.exe
c:\windows\nmhlciy.exe
danach diese dateien im abgesicherten modus löschen.

fixe diese einträge:
F3 - REG:win.ini: run=C:\WINDOWS\System32\jgisiaaa.exe
O4 - HKLM\..\Run: [FastStart] C:\WINDOWS\system32\svcnut32.exe home
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\System32\jgisiaaa.exe
O4 - HKLM\..\Run: [vucmywol] C:\WINDOWS\System32\vucmywol.exe
O4 - HKCU\..\Run: [CSRSSW] C:\WINDOWS\System32\CSRSSW.EXE
O4 - HKCU\..\Run: [egldqfv] c:\windows\nobkdap.exe
O4 - HKCU\..\Run: [syhkcmu] c:\windows\nobkdap.exe
O4 - HKCU\..\Run: [aenhjbqi] C:\WINDOWS\System32\aenhjbqi.exe
O4 - HKCU\..\Run: [gfojloq] c:\windows\trmqlic.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\System32\jgisiaaa.exe
O4 - HKCU\..\Run: [nqqqgxx] c:\windows\fgkopya.exe
O4 - HKCU\..\Run: [vucmywol] C:\WINDOWS\System32\vucmywol.exe
O4 - HKCU\..\Run: [emdivcg] c:\windows\fgkopya.exe
O4 - HKCU\..\Run: [nmogrxs] c:\windows\pohmsxn.exe
O4 - HKCU\..\Run: [rlropxt] c:\windows\pohmsxn.exe
O4 - HKCU\..\Run: [yrqkkxc] c:\windows\pohmsxn.exe
O4 - HKCU\..\Run: [unrrhid] c:\windows\pohmsxn.exe
O4 - HKCU\..\Run: [lsporne] c:\windows\nmhlciy.exe
O4 - Startup: winupdate54107892[1].exe

dann eScan ausführen

neues HJT-Logfile posten

Haui45 · 28.08.2005, 13:11

Zitat:

O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\System32\jgisiaaa.exe
O4 - HKLM\..\Run: [vucmywol] C:\WINDOWS\System32\vucmywol.exe
O4 - HKCU\..\Run: [CSRSSW] C:\WINDOWS\System32\CSRSSW.EXE
O4 - HKCU\..\Run: [egldqfv] c:\windows\nobkdap.exe
O4 - HKCU\..\Run: [syhkcmu] c:\windows\nobkdap.exe
O4 - HKCU\..\Run: [aenhjbqi] C:\WINDOWS\System32\aenhjbqi.exe
O4 - HKCU\..\Run: [gfojloq] c:\windows\trmqlic.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\System32\jgisiaaa.exe
O4 - HKCU\..\Run: [nqqqgxx] c:\windows\fgkopya.exe
O4 - HKCU\..\Run: [vucmywol] C:\WINDOWS\System32\vucmywol.exe
O4 - HKCU\..\Run: [emdivcg] c:\windows\fgkopya.exe
O4 - HKCU\..\Run: [nmogrxs] c:\windows\pohmsxn.exe
O4 - HKCU\..\Run: [rlropxt] c:\windows\pohmsxn.exe
O4 - HKCU\..\Run: [yrqkkxc] c:\windows\pohmsxn.exe
O4 - HKCU\..\Run: [unrrhid] c:\windows\pohmsxn.exe
O4 - HKCU\..\Run: [lsporne] c:\windows\nmhlciy.exe
O4 - Startup: winupdate54107892[1].exe

Das alles ist Malware, die sich zudem "vermehrt", d.h. sie lädt neue Schädlinge nach.

Eine "Bereinigung" ist imho sinnlos. Das System sollte neu aufgesetzt werden.

Chris14 · 28.08.2005, 13:14

@haui45 stimmt irgendwie; es würde wohl länger dauern, diese trojaner zu killen als richtig neuzuinstallieren..
@donp Neuinstallation ist in deinem fall wohl wirklich eher angebracht.
(ich kämpfe eben hald auch noch gegen windmühlen..)

donp · 28.08.2005, 13:25

ok...danke Euch für die Analyse. Ich werde das System neu aufsetzen.

Vielen Dank.

virenbefall

Plagegeister aller Art und deren Bekämpfung: virenbefall

virenbefall

virenbefall

virenbefall

virenbefall

virenbefall

virenbefall

virenbefall

Ähnliche Themen: virenbefall

28.08.2005, 13:14	#6
Chris14	virenbefall @haui45 stimmt irgendwie; es würde wohl länger dauern, diese trojaner zu killen als richtig neuzuinstallieren.. @donp Neuinstallation ist in deinem fall wohl wirklich eher angebracht. (ich kämpfe eben hald auch noch gegen windmühlen..)

28.08.2005, 13:25	#7
donp	virenbefall ok...danke Euch für die Analyse. Ich werde das System neu aufsetzen. Vielen Dank.