Bitte um Hilfe bei HJT Log

wackawacka · 20.03.2006, 15:31

die hab ich schon gelöscht...

Soll ich mal aufhören, selber dazwischenzufunken?

Sorry, aber bin etwas eifrig bei der sache

Grüße
Matt

ps: skype id wackawacka124

wackawacka · 20.03.2006, 15:34

Zitat:

Zitat von Wildone

ist es möglich das du schon seit dieser Zeit infiziert bist?
Grüße Wildone

Das kann ich nicht genau sagen. Das phänomen mit dieser nach hause funkenden iexplore.exe hab ich erst seit ein paar tagen...

Ich mach die logs nochmal ab dem 18.9. Geht gleich los...

Grüße
Matt

Wildone · 20.03.2006, 15:35

Hallo,
sage es zumindest wenn du etwas machst.
Sorry, habe kein skype.

Grüße Wildone

wackawacka · 20.03.2006, 15:37

system32:
---------------------------------------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E8A4-A84E

Verzeichnis von C:\WINDOWS\system32

20.03.2006 12:13 22.116 OODBS.lor
20.03.2006 10:40 22 ati64hlp.stb
20.03.2006 10:40 2.206 wpa.dbl
11.01.2006 15:23 128.000 Dsslji.dat
10.01.2006 17:50 7.168 ddvdd.dll
05.01.2006 11:47 252.928 ati2dvag.dll
05.01.2006 11:41 110.592 atipdlxx.dll
05.01.2006 11:41 77.824 Oemdspif.dll
05.01.2006 11:41 26.112 Ati2mdxx.exe
05.01.2006 11:41 40.960 ati2edxx.dll
05.01.2006 11:41 61.440 ati2evxx.dll
05.01.2006 11:39 405.504 ati2evxx.exe
05.01.2006 11:39 53.248 ATIDDC.DLL
05.01.2006 11:31 2.518.176 ati3duag.dll
05.01.2006 11:25 862.336 ativvaxx.dll
05.01.2006 11:20 6.684.672 atioglx1.dll
05.01.2006 11:19 307.200 atiiiexx.dll
05.01.2006 11:11 151.552 atikvmag.dll
05.01.2006 11:10 17.408 atitvo32.dll
05.01.2006 11:05 237.568 ati2cqag.dll
05.01.2006 11:01 4.968.448 atioglxx.dll
05.01.2006 10:22 258.048 ATIDEMGR.dll
04.01.2006 21:05 520.192 ati2sgag.exe
03.01.2006 16:41 133.280 FNTCACHE.DAT
23.12.2005 06:44 112.425 atiicdxx.dat
21.12.2005 15:35 23.694 win32k2.sys
21.12.2005 15:34 69.632 realbap1.dll
21.12.2005 15:34 45.568 realbsf1.dll
07.12.2005 14:27 30 brss01a.ini
07.12.2005 14:27 184 brsvc01a.bsi
07.12.2005 14:05 50 bridf05a.dat
01.12.2005 18:02 584 MAL-PC.scr.lnk
28.11.2005 23:43 6.024 atifglpf.xml
16.11.2005 12:35 380.350 perfh009.dat
16.11.2005 12:35 391.000 perfh007.dat
16.11.2005 12:35 52.764 perfc009.dat
16.11.2005 12:35 897.954 PerfStringBackup.INI
16.11.2005 12:35 63.580 perfc007.dat
10.11.2005 13:28 34.308 BASSMOD.dll
07.11.2005 09:17 5.618 jupdate-1.5.0_05-b05.log
05.10.2005 10:45 130.048 SpoonUninstall.exe
05.10.2005 10:45 1.363 SpoonUninstall-dBpowerAMP WMA V9.1 Codec.dat
05.10.2005 10:45 33.846 SpoonUninstall-dBpowerAMP WMA V9.1 Codec.bmp
19.09.2005 08:14 84.480 directx.exe
---------------------------------------------------------

systemtemp:
---------------------------------------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E8A4-A84E

Verzeichnis von C:\DOKUME~1\***\LOKALE~1\Temp

20.03.2006 14:50 16.384 Perflib_Perfdata_15c.dat
09.05.2005 18:07 24.613 IadHide5.dll
---------------------------------------------------------

system:
---------------------------------------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E8A4-A84E

Verzeichnis von C:\WINDOWS

20.03.2006 14:50 116 NeroDigital.ini
20.03.2006 12:14 0 0.log
20.03.2006 12:14 159 wiadebug.log
20.03.2006 12:14 50 wiaservc.log
20.03.2006 12:13 2.048 bootstat.dat
20.03.2006 11:34 227 system.ini
20.03.2006 11:34 660 win.ini
17.03.2006 11:00 107.132 UninstallThunderbird.exe
17.03.2006 11:00 8.756 mozver.dat
16.03.2006 10:48 954.971 setupapi.log
14.03.2006 13:45 0 [none]
17.02.2006 18:03 128.930 ntbtlog.txt
17.02.2006 17:56 7.926 KB913446.log
17.02.2006 17:56 54.669 iis6.log
17.02.2006 17:56 17.971 comsetup.log
17.02.2006 17:56 9.211 ntdtcsetup.log
17.02.2006 17:56 1.374 imsins.log
17.02.2006 17:56 1.227 ocmsn.log
17.02.2006 17:56 13.008 tsoc.log
17.02.2006 17:56 1.563 tabletoc.log
17.02.2006 17:55 3.873 netfxocm.log
17.02.2006 17:55 1.174 msgsocm.log
17.02.2006 17:55 172.488 ocgen.log
17.02.2006 17:55 1.912 MedCtrOC.log
17.02.2006 17:55 44.544 FaxSetup.log
17.02.2006 17:55 12.010 msmqinst.log
15.02.2006 11:39 987 ARPR.INI
14.02.2006 13:05 185.157 setupact.log
12.02.2006 19:37 54.156 QTFont.qfn
26.01.2006 12:52 67 DVDRegionFree.INI
19.01.2006 11:51 15.358 fsiuupd.log
12.01.2006 09:19 1.409 QTFont.for
11.01.2006 13:08 3.286 tm.ini
03.01.2006 16:39 27 BRPP2KA.INI
03.01.2006 16:39 827 BRWMARK.INI
30.12.2005 12:48 674 EventSystem.log
16.12.2005 12:10 316.640 WMSysPr9.prx
14.12.2005 13:57 737.280 iun6002.exe
13.12.2005 11:54 108 tdf.dii
08.12.2005 10:10 92 cdplayer.ini
30.11.2005 17:15 107.132 UninstallFirefox.exe
30.11.2005 15:44 37 iltwain.ini
29.11.2005 13:57 7 jwprimej.nom
05.10.2005 10:46 70.628 wmsetup.log
---------------------------------------------------------

sys:
---------------------------------------------------------
Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: E8A4-A84E

Verzeichnis von C:\

20.03.2006 15:35 0 sys.txt
20.03.2006 15:34 7.188 system.txt
20.03.2006 15:34 347 systemtemp.txt
20.03.2006 15:33 108.618 system32.txt
20.03.2006 12:13 1.073.315.840 hiberfil.sys
20.03.2006 12:13 1.610.612.736 pagefile.sys
20.03.2006 11:34 211 boot.ini
22.07.2005 09:33 63 avone.ini
---------------------------------------------------------

bis gleich
Matt

wackawacka · 20.03.2006, 15:38

Zitat:

Zitat von Wildone

Hallo,
sage es zumindest wenn du etwas machst.

gut, ab jetzt nur noch auf zuruf

Grüße
Matt

Wildone · 20.03.2006, 15:45

Hallo,
untersuche mal die Dateien
C:\Windows\System32\win32k2.sys (glaube zwar das es ein Treiber ist, aber sicher ist sicher)
C:\Windows\iun6002.exe

bei virustotal und poste das Ergebnis.

Grüße Wildone

wackawacka · 20.03.2006, 16:09

Hallo,

hier die ergebnisse von virustotal. Wie du schon vermutet hast, kein verdacht:
----------------------------------------------------------------------
This is a report processed by VirusTotal on 03/20/2006 at 16:04:19 (CET) after scanning the file "win32k2.sys" file.

Antivirus Version Update Result
AntiVir 6.34.0.53 03.20.2006 no virus found
Avast 4.6.695.0 03.17.2006 no virus found
AVG 718 03.17.2006 no virus found
Avira 6.34.0.53 03.20.2006 no virus found
BitDefender 7.2 03.20.2006 no virus found
CAT-QuickHeal 8.00 03.20.2006 no virus found
ClamAV devel-20060126 03.20.2006 no virus found
DrWeb 4.33 03.20.2006 no virus found
eTrust-InoculateIT 23.71.106 03.19.2006 no virus found
eTrust-Vet 12.4.2126 03.20.2006 no virus found
Ewido 3.5 03.20.2006 no virus found
Fortinet 2.71.0.0 03.20.2006 no virus found
F-Prot 3.16c 03.19.2006 no virus found
Ikarus 0.2.59.0 03.20.2006 no virus found
Kaspersky 4.0.2.24 03.20.2006 no virus found
McAfee 4721 03.17.2006 no virus found
NOD32v2 1.1451 03.20.2006 no virus found
Norman 5.70.10 03.20.2006 no virus found
Panda 9.0.0.4 03.19.2006 no virus found
Sophos 4.03.0 03.20.2006 no virus found
Symantec 8.0 03.20.2006 no virus found
TheHacker 5.9.6.116 03.20.2006 no virus found
UNA 1.83 03.20.2006 no virus found
VBA32 3.10.5 03.19.2006 no virus found
----------------------------------------------------------------------
This is a report processed by VirusTotal on 03/20/2006 at 16:09:19 (CET) after scanning the file "iun6002.exe" file.

Antivirus Version Update Result
AntiVir 6.34.0.53 03.20.2006 no virus found
Avast 4.6.695.0 03.17.2006 no virus found
AVG 718 03.17.2006 no virus found
Avira 6.34.0.53 03.20.2006 no virus found
BitDefender 7.2 03.20.2006 no virus found
CAT-QuickHeal 8.00 03.20.2006 no virus found
ClamAV devel-20060126 03.20.2006 no virus found
DrWeb 4.33 03.20.2006 no virus found
eTrust-InoculateIT 23.71.106 03.19.2006 no virus found
eTrust-Vet 12.4.2126 03.20.2006 no virus found
Ewido 3.5 03.20.2006 no virus found
Fortinet 2.71.0.0 03.20.2006 no virus found
F-Prot 3.16c 03.19.2006 no virus found
Ikarus 0.2.59.0 03.20.2006 no virus found
Kaspersky 4.0.2.24 03.20.2006 no virus found
McAfee 4721 03.17.2006 no virus found
NOD32v2 1.1451 03.20.2006 no virus found
Norman 5.70.10 03.20.2006 no virus found
Panda 9.0.0.4 03.19.2006 no virus found
Sophos 4.03.0 03.20.2006 no virus found
Symantec 8.0 03.20.2006 no virus found
TheHacker 5.9.6.116 03.20.2006 no virus found
UNA 1.83 03.20.2006 no virus found
VBA32 3.10.5 03.19.2006 no virus found
----------------------------------------------------------------------

Was sagst du zu der meldung von ZoneLabs über den Win32/Glieder.DE. Ich denke, die beschreibung mit ldr64.dll und den ganzen verzeichnissen stimmt ziemlich genau mit meinem hergang überein. Wie wird man sowas denn wieder los? Reicht es, die ganzen aufgeführten dateien und reg-einträge zu löschen?

Grüße
Matt

Wildone · 20.03.2006, 16:25

Hallo,
in diesem Fall sollte das löschen der jeweiligen Dateien(hast du ja schon gemacht, und cleanup! sollte die Datei im temp gelöscht haben) ausreichen.

Aber das du jetzt nichts durcheinander bringst, ich denke es sind zwei unterschiedliche Infektionen auf deinem Rechner, einmal die von Zonealarm beschriebene und einmal die directx/ Config\IEXPLORE.EXE.

Von der ersten sollte quasi nichts mehr übrig sein, von der zweiten brauchen wir noch die Beschreibung von den AVs.

Lösche jetzt auch noch folgende Dateien mit killbox on reboot:
c:\windows\system32\directx.exe
C:\WINDOWS\Config\IEXPLORE.EXE

Und poste danach ein neues HijackThis Logfile.

Grüße Wildone

wackawacka · 20.03.2006, 17:59

Hi nochmal...

ich habe die beiden von dir erwähnten dateien mit killbox gelöscht und nach einem reboot war das problem behoben. Zumindest will jetzt keine iexplore.exe mehr telefonieren und auch F-Secure ist wieder wie gewohnt zu sehen...

Anbei dennoch nochmal das aktuelle HJT Log:
-------------------------------------------------------------------
Logfile of HijackThis v1.99.1
Scan saved at 17:46:24, on 20.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate Personal Firewall\smc.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\F-Secure Internet Security\Common\FSM32.EXE
C:\Programme\Mediafour\MacDrive\MDDiskProtect.exe
C:\Programme\Gemeinsame Dateien\Mediafour\MACVNTFY.EXE
C:\Programme\DirectUpdate v4\DUControl.exe
C:\Programme\Acronis TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\POP Peeper\POPPeeper.exe
C:\Programme\Skype\Skype.exe
C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
C:\Programme\DirectUpdate v4\DUEngine.exe
C:\Programme\F-Secure Internet Security\backweb\4476822\Program\fspex.exe
C:\Programme\DiskeeperWorkstation\DKService.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
C:\Programme\Adobe Acrobat 7.0\Acrobat\acrobat_sl.exe
C:\Programme\F-Secure Internet Security\Common\FSMB32.EXE
C:\PROGRAMME\HFF\HideFilesAndFoldersA.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fssm32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Adobe Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\F-Secure Internet Security\Common\FCH32.EXE
C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
C:\Programme\F-Secure Internet Security\Common\FAMEH32.EXE
C:\Programme\F-Secure Internet Security\FSPC\fspc.exe
C:\Programme\Dantz Retrospect 7.0\retrorun.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
C:\Programme\F-Secure Internet Security\Anti-Virus\fsav32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\F-Secure Internet Security\FSGUI\fsguiexe.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: PreispiratenSearchURL - {0B660087-931C-4056-A04F-0423890E40B6} - C:\Programme\Preispiraten\Preispiraten2\PPSearchURL.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: metaspinner media GmbH - {D3AA56A9-8137-4950-A6F9-D0190A82AF2A} - C:\Programme\Preispiraten\Preispiraten2\IEButtonPPInterface.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [MDDiskProtect.exe] C:\Programme\Mediafour\MacDrive\MDDiskProtect.exe
O4 - HKLM\..\Run: [MediafourGettingStartedWithMacDrive6] "C:\Programme\Mediafour\MacDrive\MacDrive.exe" /runonce
O4 - HKLM\..\Run: [Mediafour Mac Volume Notifications] "C:\Programme\Gemeinsame Dateien\Mediafour\MACVNTFY.EXE" /auto
O4 - HKLM\..\Run: [DUControl] "C:\Programme\DirectUpdate v4\DUControl.exe"
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKCU\..\Run: [POP Peeper] "C:\Programme\POP Peeper\POPPeeper.exe" -min
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Skype.exe" /nosplash /minimized
O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten\\Preispiraten2\\preispiraten.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Save with Download Manager... - file://C:\Programme\Media Center\DMDownload.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Webfilter - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Website-&Liste anzeigen - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Webseitenfilter &aussetzen - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Diese Website &sperren - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Diese Website &zulassen - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Programme\F-Secure Internet Security\FSPC\fspcmsie.dll
O9 - Extra button: Preispiraten 2.5 - {2638A03E-1669-43BE-8119-B47087629A7F} - C:\Programme\Preispiraten\Preispiraten2\preispiraten2ie.exe
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O10 - Broken Internet access because of LSP provider 'winsflt.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{E25AB208-F78B-49B1-9672-E665DCF47DE7}: NameServer = 192.168.1.1
O20 - Winlogon Notify: MacDrive-iTunes compatibility - C:\Programme\Gemeinsame Dateien\Mediafour\MacDriveiTunesPatch.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: F-Secure Internet Security 2005 (BackWeb Plug-in - 4476822) - Unknown owner - C:\PROGRA~1\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE
O23 - Service: BlackMoon FTP Service (BMFTP-RELEASE) - Selom Ofori - C:\Programme\BlackMoon FTP Server\FTPService.exe
O23 - Service: BMFTPRealTimeStats - Selom Ofori - C:\Programme\BlackMoon FTP Server\BMFTPRealTimeStats.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: DirectX Service (DirectService) - Unknown owner - c:\windows\system32\directx.exe (file missing)
O23 - Service: DirectUpdate engine (DirectUpdate) - http://w*w.directupdate.net/ - C:\Programme\DirectUpdate v4\DUEngine.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\DiskeeperWorkstation\DKService.exe
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure Internet Security\backweb\4476822\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FSPC\fshttps\fshttps.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: Hide Files and Folders (HideFilesAndFolders) - Unknown owner - C:\PROGRAMME\HFF\HideFilesAndFoldersA.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Retrospect Launcher (RetroLauncher) - EMC Dantz - C:\Programme\Dantz Retrospect 7.0\retrorun.exe
O23 - Service: Retrospect Helper - EMC Dantz - C:\Programme\Dantz Retrospect 7.0\rthlpsvc.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate Personal Firewall\smc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
-------------------------------------------------------------------

Soviel mal zu der einen baustelle. Die andere von ZoneLabs beschriebene baustelle habe ich anscheinend vorhin schon gelöst, indem ich die ldr64.dll sowie die in der meldung aufgeführten reg-einträge gelöscht habe.

Na, anscheinend habe ich das dank deiner tatkräftigen und schnellen hilfe in den griff bekommen...

:aplaus:

Wenn ich mich irgendwie revanchieren kann, lasst es mich wissen

Grüße und 10000000000

nochmal (hoffentlich nicht zu früh gefreut)
Matt

Wildone · 20.03.2006, 18:13

Hallo,
ich sage es jetzt noch mal, die "Reinigung" ist nur für die Zeit bis die AVs dir das Ergebnis per E-Mail mitteilen, wenn es ein Wurm ist der dritten auf das System Zugriff gewährt wirst du trotzdem Neuaufsetzen bzw. das letzte saubere Image zurückspielen müssen.

Für die Zukunft, ausführbare Dateien aus unseriösen Quellen haben nichts auf deinem System zu suchen, und davor wird dich auch keine Firewall oder AV schützen können, das kann nur dein Verstand, setze ihn ein.

Du kannst übrigens noch folgendes machen;
Start>>Ausführen services.msc dort rechtsklick auf DirectX Service>>Eigenschaften und dort auf "deaktiviert" setzen.

Grüße Wildone

wackawacka · 20.03.2006, 19:10

Hi nochmal,

Zitat:

Zitat von Wildone

Hallo,
ich sage es jetzt noch mal, die "Reinigung" ist nur für die Zeit bis die AVs dir das Ergebnis per E-Mail mitteilen

ich habe die datei an alle aufgeführten adressen gemailt.

Zitat:

Zitat von Wildone

Für die Zukunft, ausführbare Dateien aus unseriösen Quellen haben nichts auf deinem System zu suchen, und davor wird dich auch keine Firewall oder AV schützen können, das kann nur dein Verstand, setze ihn ein.

du hast ja recht! Asche auf mein haupt... mach ich bestimmt so schnell nicht wieder!

Ich meld mich wieder, sobald ich was von den AVs gehört habe...

Also erstmal grüße
Matt

wackawacka · 20.03.2006, 19:35

Hi nochmal,

Dr. Web war am schnellsten:
----------------------------------------------------------------
Dear XXX,

Your request has been analyzed. New virus record has been added.
BackDoor.Zani

Thank you for the cooperation.

-- Yours sincerely, Virus Monitoring Service Doctor Web Ltd.
----------------------------------------------------------------

Bin ja mal gespannt, was da noch bei rauskommt...

Grüße - bis morgen wahrscheinlich mit mehr rückmeldungen
Matt

wackawacka · 21.03.2006, 09:57

Moin!

Hier noch einige antworten von verschiedenen AVs:
-------------------------------------------------
Avert Labs:
A.V.E.R.T. Sample Analysis
Issue Number: 2261163
Virus Research Engineer: Joel Spurlock
Identified: Generic BackDoor.l
-------------------------------------------------

CA:
FILE
--------------------------------
iexplore.exe
--------------------------------
The Windows PE (I386,EXE) file "iexplore.exe" has been determined to be
malicious. Our researchers have analyzed the file and confirmed the
result.
With regards to the file "iexplore.exe" submitted by you on 21 Mar
04:41:29 (Australian Eastern Standard Time), we have added detection
for Win32/Kewk.7tx!Trojan to the signature files for the InoculateIT
engine.
-------------------------------------------------

AV Lab:
Thank you for submitting your sample to Fortinet. We have analyzed the sample and have verified that it is indeed malicious. It will be detected as W32/Zani.A!bdr in the next update.

Regards,

AV Lab - Marga
-------------------------------------------------

Soviel erstmal dazu - schönen frühlingsanfang
Matt

hoerni26 · 21.03.2006, 10:00

Hallo,

da Wildone nicht on ist werde ich dir kurz Antwort geben.
Ich rate dir dein System schnell vom Netz zu nehmen und nach Anleitung in meiner Signatur komplett neu aufzusetzen.
Da ein Backdoor Trojaner dritten Zugriff auf deinen Rechner gewährt.
Ich nehme an Wildone würde dir nix anderes raten.

wackawacka · 21.03.2006, 14:25

Hi nochmal,

nach eindringlicher warnung habe ich nun mein system mit einem sauberen image wiederhergestellt.

Währenddessen kam noch eine rückmeldung von Sophos:
------------------------------------------------------
Hi XXX

thank you for your email. The file iexplore.exe that you sent to us
for analysis was a Trojan, Troj/Clicker-CL, further details of which
can be found on our web site at

h**p://w*w.sophos.com/virusinfo/analyses/trojclickercl.html

and an IDE file that will allow Sophos to detect this is now available
on the Databank and from

h**p://w*w.sophos.com/downloads/ide/

Please do not hesitate to contact me if I can be of any further
assistance.

Regards

--
Martin James Elliott
Technical Support Specialist, Sophos
------------------------------------------------------

Grüße
Matt

Bitte um Hilfe bei HJT Log

Log-Analyse und Auswertung: Bitte um Hilfe bei HJT Log