Hallo zusammen!

Dies hier ist also die Stelle wo man gesagt bekommt: "Bring dein System zum Abdecker..."

Naja... Also mein Problem ist, das Windows mir ständig sagt, das das Programm XY beendet werden muss, weil ein Problem festgestellt wurde. Also Winword wird irgendwann "grundlos" so gekickt genauso wie iTunes und bei ner Runde Battlefield ist es genauso, ungefähr nach ner minute im Spiel, schiest sich das Programm einfach ab.

Mein Virenscanner sagt mir er habe wohl schon mal Kontakt mit
Win32:Tibick-D
Win32:Backterra-D
Win32:Tibick
gehabt. Ein nachträgliches Scannen sowie das Scannen mit einem/dem Spysweepertool hat zu keinen positiven Ergebnissen geführt. Also lt. denen ist alles sauber.

Bei mir in der Taskliste, habe ich einaml eine FAST.EXE und eine WDFMGR.EXE gehabt, welche ich erstmal auf Eis gelegt habe, da ich sie nicht zuordnen konnte. Insbesondere die FAST ist mir fast ein Dorn im Auge... so genug geschwafelt, so schauts halt aus, und ich wäre froh, wenn man noch so was retten könnte, denn mein Sys ist an und für sich mir ein bischen zu komplex, um es mal ebend wieder herzustellen - appropos "wiederherstellung" - das hat auch nix gebracht, (aber das scheint auch nicht weiter zu verwundern.)



Was machen eigentlich diese HKML´s ? ist das des Gift?


Logfile of HijackThis v1.99.1
Scan saved at 01:35:11, on 07.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alias\Maya7.0\docs\wrapper.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alias\mentalray3.4\bin\rayserver.exe
C:\Programme\Alias\mentalraysatellite3.4\bin\raysatserver.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alias\Maya7.0\docs\jre\bin\java.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\RivaTuner v2.0 RC 15.8\RivaTuner.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Totalcommander\TOTALCMD.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [RivaTuner] "C:\Programme\RivaTuner v2.0 RC 15.8\RivaTuner.exe" /T
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InteractiveLogon - Unknown owner - C:\WINDOWS\system32\Fast.exe (file missing)
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Maya 7.0 Documentation Server (maya70docserver) - Unknown owner - C:\Programme\Alias\Maya7.0\docs\wrapper.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Ray - Unknown owner - C:\Programme\Alias\mentalray3.4\bin\rayserver.exe
O23 - Service: RaySat Server (RaySatServer) - Unknown owner - C:\Programme\Alias\mentalraysatellite3.4\bin\raysatserver.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Professional 2005\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Professional 2005\RpcSandraSrv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\system32\wdfmgr.exe (file missing)

Servus!

Nun, die von Dir zitierten Funde sind alle zusammen mit filesharing-tools in Verbindung zu bringen - was Du als Wink mit dem Zaunpfahl verstehen kannst
Die Beschreibungen dazu sind vielfältig, in einigen wird von einer limitierten "Backdoor-Funktionalität" gesprochen!

Die von Dir ebenfalls kritisierte "fast.exe" sollte normalerweise zu den XP PowerToys gehören und einen schnell(er)en Benutzerwechsel ermöglichen.

Die andere Datei - wdfmgr.exe - gehört wiederum zum Media Player 10 - normalerweise auch kein Grund zur Sorge!

In Deinem Log kann ich momentan nichts entdecken, was auf aktive Malware hinweisen würde - was aber nicht zwingend heißt, dass keine mehr aktiv ist.
Lass daher mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=24192 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas!
stupormundi

...Herr Stupormundi,

erstmal vielen Dank! Werde dies grad mal bewerkstelligen, und dann feedback leisten - schliesslich wollen wir alle ja was davon haben...


Hochachtungsvoll,

Herr Caypiranha

Aber hier mal vorab: Mal riesen Dank für diese Unterstützung hier!!!
Finde ich ausgesprochen sozial, das hier kompetente Hilfe angeboten wird! :aplaus:



So, nachdem ich den MWAV laufen lassen habe (gründliches Tool!) und mit der Find .exe (COOLES Tool!) mir die wohlweisslichsten Zeilen habe raussuchen lassen, ist die der Befund:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Feb 07 16:05:46 2006 => System found infected with searchexe Spyware/Adware ({807553e5-5146-11d5-a672-00b0d022e945})! Action taken: No Action Taken.
Tue Feb 07 16:30:22 2006 => File C:\WINDOWS\$NtServicePackUninstall$\logonui.exe infected by "Trojan.Win32.Agent.on" Virus! Action Taken: No Action Taken.
Tue Feb 07 17:36:00 2006 => Scanning File D:\############2sort\__________Lostfile\DIR2809\Maya Shaders, MAYA Shaders, Shaders for Maya_NEW-Dateien\infectedCell-v1.0-.ma_th.jpg
Tue Feb 07 18:30:32 2006 => Scanning File G:\My Private\== MaYa Needs ==\÷÷÷÷ SHADER ÷÷÷÷\+++++shader_weblib\Maya Shaders, MAYA Shaders, Shaders for Maya_NEW-Dateien\infectedCell-v1.0-.ma_th.jpg
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Feb 07 16:28:11 2006 => File C:\System Volume Information\_restore{90978073-933C-4ABB-81C4-894929F726EC}\RP72\A0054159.dll tagged as "not-a-virus:AdWare.Win32.Visua.a". Action Taken: No Action Taken.
Tue Feb 07 16:28:11 2006 => File C:\System Volume Information\_restore{90978073-933C-4ABB-81C4-894929F726EC}\RP72\A0054160.dll tagged as "not-a-virus:AdWare.Win32.Visua.a". Action Taken: No Action Taken.
Tue Feb 07 16:28:57 2006 => File C:\System Volume Information\_restore{90978073-933C-4ABB-81C4-894929F726EC}\RP75\A0054593.dll tagged as "not-a-virus:AdWare.Win32.Visua.a". Action Taken: No Action Taken.
Tue Feb 07 16:28:57 2006 => File C:\System Volume Information\_restore{90978073-933C-4ABB-81C4-894929F726EC}\RP75\A0054594.dll tagged as "not-a-virus:AdWare.Win32.Visua.a". Action Taken: No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Tue Feb 07 15:56:51 2006 => Virus Database Date: 2/3/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~






Was bedeutet "No Action Taken? Was ist mit den *.JPG´s? Also ich habe wohl mal gehört, das sich in JPG´s auch bösartiger Code einbringen liesse.

Gibts eine Möglichkeit auf den System Volume Information Ordner zuzugreifen?

Ist es ratsam das Tool (nochmal) im abgesicherten Modus laufen zu lassen?

Ich teste es schon mal...





regards!

Hallo Caypiranha,
Schulenglisch ist lang her oder nie gehabt ?Das EScan-Proggi zeigt nur an,was nicht i.O. ist.Es löscht nichts=No Aktion taken
Der AV-Hersteller der einen Virus zuerst entdeckt darf ihn auch taufen,da jeder für sich in Anspruch nimmt einen Virus zuerst gefunden zu haben wird eben auch viel getauft.Deiner hat nun den Namen :infectedCell-v1.0-.ma_th.jpg bekommen.Das muß nicht zwingend mit einem Bildchen zusammen hängen,es kommt darauf an wo der Virus bei dir gefunden wird.
Wenn ich mir dein Log so betrachte keimt der Verdacht auf,das Bill Gates von deinem OS nix weiß,könnte das sein ?
Irrlicht

Well, I think when there would be written something like "Keine Aktion Genommen" ... I should ask the same question, Mate!

Tja, danke aber für Deine Erklärung. Das sagt mir also nun, das ich neue Viren auf meinem Rechner habe, welche noch keine, als bekannt gegebenen Definitionen darstellen? oder sind das evt. dann auch keine viren/troj o.ä.?

zum unwissenden Bill: Tja, wenn der Bill wüste, wie beschissen seine seine Hardwarefreischaltung ist, und das ich nach ein paar Mal schlichtweg keinen Bock hab mir erstmal wieder einen neuen Code zu organisieren... Dann darf er ruhig wissen, das sein "Original" staubgeschützt bestens bei mir in der Schublade aufgehoben ist. Ich mache da keinen Bramborium drum. Wo ist das denn rauszulesen?

Hallo Caypiranha,
wer SP2 auf dem Rechner hat,bekommt von Bill noch was persönliches dazu.Das fehlt bei dir.
Für nicht lizensierte OS gibt`s hier keine Unterstützung,zumindest nicht von mir,mit welcher Ausrede auch immer.
Deine Malware ist nicht neu,das hat nix mit der Namensgebung zu tun.
Onlinescanner und Google sollten helfen können.
Irrlicht

Hallöchen Irrlicht,

Gut, mit dem SP2 das habe ich nicht gewusst. Habe mich im Prinzip schon lang nicht mehr mit OS spezifischen Angelegenheiten beschäftigt. Ich denke es hat wohl was mit der Einsicht Billy´s zu tun? Keine Hardwarechecks mehr? Sodann kann ich mir die Sache noch einmal anschauen.

Finde Dein Benehmen äusserst vorbildlich und erwarte auch keine weitere Hilfe in diesem Fall, bis sich meine Weste auf gründlichste gereinigt hat....

Werde mir dann mal, - wenn meine Mailware nicht neu ist - über Google nun mal Infos einsammeln. Danke.

mfg - Caypiranha