hallo

ich habe seit gestern so ein blödes ausrufezeichen immer mal im system-tray, was mich auf spyware-infektion aufmerksam macht. beim draufklicken werd ich immer auf andere seiten gebracht, die mir anti-spyware-tools verkaufen wollen, ich denke ihr kennt dies problem.

mein hijackthis-log ist meiner meinung nach sauber. (außer dieses O2 ist mir neu.)
mein antivir hat zwar drei trojaner gefunden ("TR/FakeAlert.AA", "TR/Dldr.Zlob.go.2", "TR/Drop.Zlob.GW.1"), welche aber anscheinend auch problemlos gelöscht wurden.

naja... lange rede kurzer sinn, schaut sich jemand bitte mal mein log an, damit ich wenigstens das ausschließen kann. und vielleicht hat ja noch wer nen klasse einfall, was es sein kann und wie ich am besten vorgehe.

Danke! xenID

ps: vielleicht ein wichtiger hinweis.
es öffnen sich seit diesem problem auch immer ie-popup-fenster, obwohl ich den firefox nutze, der den popup-blocker als aktiv geschaltet hat.

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 12:26:46, on 08.03.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\mssearchnet.exe
C:\WINNT\system32\nvctrl.exe
C:\WINNT\System32\igfxtray.exe
C:\WINNT\System32\hkcmd.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
C:\Programme\D-Link\AirPlus Xtreme G\AirPlusCFG.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\internat.exe
C:\Programme\MSI\3D!Turbo 2000\vgauti.exe
C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
E:\programme\palm\HOTSYNC.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Media Player Classic\mplayerc.exe
E:\messengers\Trillian\trillian.exe
C:\totalcmd\TOTALCMD.EXE
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
E:\programme\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
O2 - BHO: (no name) - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [IgfxTray] C:\WINNT\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINNT\System32\hkcmd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINNT\system32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [D-Link AirPlus Xtreme G] C:\Programme\D-Link\AirPlus Xtreme G\AirPlusCFG.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [HijackThis startup scan] E:\programme\HijackThis.exe /startupscan
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1
O4 - Startup: HotSync Manager.lnk = E:\programme\palm\HOTSYNC.EXE
O4 - Global Startup: 3D!Turbo 2000.lnk = C:\Programme\MSI\3D!Turbo 2000\vgauti.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{1F4715A2-843F-453B-AC55-48ABE02A5347}: NameServer = 195.50.140.252 195.50.140.114
O20 - Winlogon Notify: igfxcui - C:\WINNT\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINNT\svcproc.exe (file missing)

hallo,

dein logfile ist deiner meinung nach sauber..
aber ich denke das es das nicht ist.
lasse bitte diesen eintrag:

C:\WINNT\system32\nvctrl.exe

online bei jotti prüfen und teile das ergebniss bitte hier mit..

thx vorerst... mach mich dran.

Hallo,
besorge dir noch folgendes Tool, entpacke es, gehe in den abgesicherten Modus (F8 beim booten), und führe die runthis.bat aus. Dann postest du den Inhalt der Datei C:\smitfiles.txt.
Außerdem löschst du deine Temp-Dateien mit cleanup! und machst dann mal noch folgendes und postest die vier Logfiles, nur die Dateien des letzten Monats abkopieren.



Grüße Wildone

wer ist jotti?

aber bei "virus-total" sagt mir das ergebnis:

Zitat:

AntiVir 6.34.0.53 03.08.2006 no virus found
Avast 4.6.695.0 03.06.2006 no virus found
AVG 718 03.07.2006 no virus found
Avira 6.33.1.53 03.07.2006 no virus found
BitDefender 7.2 03.08.2006 Generic.Malware.Ssp.C7FED2B2
CAT-QuickHeal 8.00 03.07.2006 (Suspicious) - DNAScan
ClamAV devel-20060126 03.07.2006 no virus found
DrWeb 4.33 03.08.2006 no virus found
eTrust-InoculateIT 23.71.96 03.08.2006 no virus found
eTrust-Vet 12.4.2110 03.08.2006 no virus found
Ewido 3.5 03.08.2006 no virus found
Fortinet 2.71.0.0 03.07.2006 suspicious
F-Prot 3.16c 03.08.2006 no virus found
Ikarus 0.2.59.0 03.07.2006 no virus found
Kaspersky 4.0.2.24 03.08.2006 no virus found
McAfee 4712 03.07.2006 no virus found
NOD32v2 1.1432 03.06.2006 no virus found
Norman 5.70.10 03.07.2006 no virus found
Panda 9.0.0.4 03.07.2006 Suspicious file
Sophos 4.03.0 03.08.2006 no virus found
Symantec 8.0 03.08.2006 no virus found
TheHacker 5.9.5.108 03.07.2006 no virus found
UNA 1.83 03.07.2006 no virus found
VBA32 3.10.5 03.08.2006 no virus found

was mach ich nun mit dem "Generic.Malware.Ssp.C7FED2B2" ... kann ich die datei einfach löschen?

Hallo,
arbeite mal das ab was ich gepostet habe, sowohl die nvctrl.exe als auch die mssearchnet.exe sind Trojaner, werden aber normalerweise automatisch von dem oben genannten Tool gelöscht.

P.S. Schwarz ist mir als Farbe für Schrift am liebsten...


Grüße Wildone

die datbat-sache hab ich schon da...

Zitat:

Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: 1014-C70A

Verzeichnis von C:\WINNT\system32

08.03.2006 13:27 5.032 ncompat.tlb
08.03.2006 12:46 429 datFind.bat
08.03.2006 09:22 6.656 msvol.tlb
07.03.2006 18:46 16.408 nvctrl.exe
07.03.2006 18:46 4.286 ot.ico
07.03.2006 18:46 4.286 ts.ico
07.03.2006 18:46 9.864 mssearchnet.exe
07.03.2006 18:39 14.949 dfrgsrv.exe
27.02.2006 20:51 100.352 dfrg.msc
23.02.2006 13:06 192.184 FNTCACHE.DAT
27.01.2006 20:27 115 EPPICResdb
27.01.2006 20:27 4.543 EPPICResdb0000
18.01.2006 13:05 57.344 avsda.dll

Zitat:

Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: 1014-C70A

Verzeichnis von C:\DOKUME~1\xenid\LOKALE~1\Temp

08.03.2006 12:15 137 live.smil-1.smi
08.03.2006 01:47 21.176 deadidas.bmp
08.03.2006 01:47 8.118 peanuts.bmp
08.03.2006 01:47 8.118 doodle.bmp
07.03.2006 19:03 10.134 dat63.tmp
07.03.2006 13:28 174 WMF4.tmp
07.03.2006 13:20 25.063 Zeichng1_1_1_3891.bak
07.03.2006 12:24 2 Twain001.Mtx
07.03.2006 12:23 156 Twunk001.MTX
07.03.2006 12:23 0 Twunk002.MTX
07.03.2006 12:23 219 TWAIN.LOG
06.03.2006 21:30 0 lt1F.tmp
06.03.2006 15:25 1.015.809 PNX4.tmp
06.03.2006 09:25 137 live.smil.smi
02.03.2006 20:54 122 8A56EAB7.TMP
01.03.2006 15:26 137 live.smil-16.smi
12.10.2004 11:14 57.344 InstHelp.dll
17 Datei(en) 1.146.846 Bytes
0 Verzeichnis(se), 4.526.710.784 Bytes frei

Zitat:

Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: 1014-C70A

Verzeichnis von C:\WINNT

08.03.2006 13:29 1.628 wincmd.ini
08.03.2006 12:48 746.716 ShellIconCache
08.03.2006 11:22 155 winamp.ini
08.03.2006 03:35 32.632 SchedLgU.Txt
08.03.2006 01:38 778 wininit.ini
07.03.2006 19:32 71.268 ntbtlog.txt
06.03.2006 17:30 69 NeroDigital.ini
05.03.2006 19:56 1.771 cdplayer.ini
01.03.2006 08:53 645.220 setupapi.log
28.02.2006 21:40 12.862 EPISMG00.SWB
28.02.2006 19:37 1.664 ModemLog_TOSHIBA Software Modem AMR.txt
22.02.2006 21:06 3.312 tm.ini
22.02.2006 21:05 140 tdf.dii
22.02.2006 20:57 1.376 win.ini
07.02.2006 17:36 238 ODBC.INI
30.01.2006 20:45 1.364.022 ACD Wallpaper.cmp
17.01.2006 20:18 4.118 Active Setup Log.txt

Zitat:

Datentr„ger in Laufwerk C: ist System
Datentr„gernummer: 1014-C70A

Verzeichnis von C:\

08.03.2006 13:32 0 sys.txt
08.03.2006 13:31 8.891 system.txt
08.03.2006 13:31 1.133 systemtemp.txt
08.03.2006 13:29 103.735 system32.txt
08.03.2006 09:18 536.870.912 pagefile.sys
04.02.2006 10:40 4 timestmp.tmp
22.12.2005 00:32 13.030 PDOXUSRS.NET
27.08.2005 13:29 856 flashplayer.xpt
31.07.2004 21:36 216.096 ntldr
31.07.2004 21:36 34.724 NTDETECT.COM
22.07.2004 16:54 192 boot.ini
22.07.2004 16:05 0 IO.SYS
22.07.2004 16:05 0 CONFIG.SYS
22.07.2004 16:05 0 MSDOS.SYS
22.07.2004 16:05 0 AUTOEXEC.BAT
19.06.2003 11:05 163.840 arcsetup.exe
19.06.2003 11:05 150.528 arcldr.exe
17 Datei(en) 537.563.941 Bytes
0 Verzeichnis(se), 4.526.702.592 Bytes frei

so... irgendwie bin ich es zwar leid diese ganzen tools zu nutzen, sieht ja keiner mehr durch, aber ich vertrau mal drauf und mach was man mir hier rät.

soweit xenID

ps:farbe geändert

Hallo,

Zitat:

so... irgendwie bin ich es zwar leid diese ganzen tools zu nutzen, sieht ja keiner mehr durch,

Tja, du kannst das system auch neu aufsetzen, dann brauchst du keine Tools verwenden.
Es wäre übrigens besser gewesen du das ganze auch in der Reihenfolge abgearbeitet hättest wie ich es gepostet habe, habe mir dabei schon etwas gedacht.

P.S. Warum hast du die datfind.bat im System32 Ordner gespeichert, der ist normalerweise nur für Systemdateien und Viren reserviert.

Grüße Wildone

so... bin wieder aus dem abgesicherten zurück.

gut, die reihenfolge ... hatte eben dieses datfind.bat-tool schon ... sollte ich die logs nochmals posten, weil ja nun cleanup etc. drübergelaufen ist?

warum ich die datfind.bat im system32-ordner liegen hab? ganz einfach. ich hatte sie zuerst auf e: und da dieses tool das laufwerk auf welchem es gespeichert ist abarbeitet, hab ich es dann in das verzeichnis kopiert, welches als erstes gelistet werden soll ... werde sie gleich woandershin schieben. danke für den hinweis.

und nun die smitfiles.txt

Zitat:

smitRem © log file
version 2.8

by noahdfear


Microsoft Windows 2000 [Version 5.00.2195]

Running from
E:\programme\Smitrem

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run SharedTask Export

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{C9FA1DC9-1FB3-C2A8-2F1A-DC1A33E7AF9D}"="Prestige Software"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


[HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{C9FA1DC9-1FB3-C2A8-2F1A-DC1A33E7AF9D}\InProcServer32]
@="C:\WINNT\system32\ginuerep.dll"


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!


checking for WinHound.com key


WinHound.com key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
SpywareStrike uninstaller NOT present

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

1024 dir
msvol.tlb
mssearchnet.exe
ncompat.tlb
nvctrl.exe
wp.bmp


~~~ Icons in System32 ~~~

ts.ico
ot.ico


~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 712 'explorer.exe'
Killing PID 712 'explorer.exe'
Error 0x5 : Zugriff verweigert


Starting registry repairs

Registry repairs complete

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

SharedTask Export after registry fix

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"
"{C9FA1DC9-1FB3-C2A8-2F1A-DC1A33E7AF9D}"="Prestige Software"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\system32\browseui.dll"


[HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{C9FA1DC9-1FB3-C2A8-2F1A-DC1A33E7AF9D}\InProcServer32]
@="C:\WINNT\system32\ginuerep.dll"


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Deleting files

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~


Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

1024 dir
msvol.tlb
mssearchnet.exe
ncompat.tlb
nvctrl.exe
wp.bmp


~~~ Icons in System32 ~~~

ts.ico
ot.ico


~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~


~~~ Wininet.dll ~~~

wininet.dll is missing!!

die wininit.dll, die vermisst wird, ist die wichtig?
und sollte ich die 6 datein im system32-ordner prüfen?

xenID

Hallo,
also das die wininet.dll vermißt wird halte ich für eine Fehlmeldung.
Das automatische löschen scheint nicht zu funktionieren, also müssen wir es manuell machen, aber überprüfe mal noch vorher, falls vorhanden, die Datei C:\Windows\System32\ginuerep.dll bei virustotal und poste das Ergebnis.


Grüße Wildone

danke dir wildone für die gute und schnelle zusammenarbeit.

Zitat:

Zitat von Wildone

aber überprüfe mal noch vorher, falls vorhanden, die Datei C:\Windows\System32\ginuerep.dll bei virustotal und poste das Ergebnis.

nicht vorhanden...

ergebnisse jotti:

Zitat:

mssearchnet.exe
Entdeckte Packprogramme: PE_PATCH, UPACK
ArcaVir: Heur.Win32 gefunden
Fortinet: PossibleThreat!02399 gefunden

msvol.tlb
Norman Virus Control: W32/Zlob.IT gefunden

nvctrl.exe
Entdeckte Packprogramme: PE_PATCH, UPACK
ArcaVir: Heur.Win32 gefunden
BitDefender: Generic.Malware.Ssp.C7FED2B2 gefunden (mögliche Variante)

xenID

Hallo,
dann hat sie AntiVir wahrscheinlich schon gelöscht, besorge dir mal killbox und lösche damit die folgenden Dateien on reboot (sind alle im System32 Ordner):
1024 dir (Ordner mit deltree löschen)
msvol.tlb
mssearchnet.exe
ncompat.tlb
nvctrl.exe
wp.bmp
ts.ico
ot.ico

Außerdem überprüfst du auch noch die Datei dfrgsrv.exe (ebenfalls im System32 Ordner) bei Virustotal und postest das Ergebnis.


Grüße Wildone

Zitat:

dfrgsrv.exe
CAT-QuickHeal 8.00 03.07.2006 (Suspicious) - DNAScan
Fortinet 2.71.0.0 03.07.2006 suspicious
Norman 5.70.10 03.08.2006 W32/Malware
Panda 9.0.0.4 03.07.2006 Suspicious file

soll ich diese auch mit killbox löschen?

ansonsten lösche ich die unten genannten datein. obwohl? die datein "ncompat.tlb", "wp.bmp", "ts.ico" und "ot.ico" wurden bei jotti und virus-total als OK ausgewiesen.

xenID

Hallo,
die Dateien ncompat usw. sind keine Trojaner im eigentlichen sinne, sie sind Icons Bilder usw. die allerdings von dem Trojaner nachgeladen wurden, also solltest du sie löschen.
Die dfrgsrv.exe solltest du auch löschen.
Wie siehts ansonsten auf deinem Desktop aus? Noch der Popups oder das Ausrufezeichen um Infobereich?


Grüße Wildone

bei mir scheint die sonne...
nicht nur draußen, sondern auch mein rechner lässt mich vor begeisterung strahlen.
ich danke dir für deine so kompetente hilfe.
werde jetzt noch die restlichen datein löschen, neustarten und dann mich wieder den eigentlichen dingen, die ich am rechner tun will, zuwenden.

ich hoffe, ich hab mir das alles bisl gemerkt und komme bei der nächsten atacke selber zurecht.
ansonsten muss ich wieder herkommen oder hast du nen messenger, wo ich dich als systemretter eintragen darf

merci und einen schönen tag
xenID