System: XP Professional SP2


Hallo und Chapeu!

Hut ab vor soviel Engagement. Jetzt bin ich selber betroffen.
Vor ein paar Wochen habe ich versucht eine exe-Datei manuell zu löschen,
sie wurde stattdessen aktiviert ("igra.exe").

Könnte mich dämlich ärgern über soviel Dummheit.
Main MailClients (OE und Thunderbird) sowie sämtliche Browser können
nicht mehr auf das Netz zugreifen. Die Ports sind blockiert (25, 65, 110)
mit der typischen Client-Meldung (Socketfehler), also so, wie wenn man
die Verbindungsdaten der Mails falsch eingegeben hat.

Bei Angabe der DNS für den WLAN-Router kann diese nicht aufgerufen werden (wobei ich per Kabel und nicht über Wireless mit diesem Router verbunden bin)

Der Router selbst funktioniert aber, Netzwerkkarte ebenso.

Laut einer (fasst unermäßlichen) Anzahl von Viren- und Trojaner-Scannern
ist mein PC allerdings sauber.

Bin langsam am Ausdünsten, letzte Hoffnung HIJACK-Log und meine
Bitte um eure Hilfe

Möge mein Dank mit euch sein!

Gruss

--------------------------

Logfile of HijackThis v1.99.1
Scan saved at 23:08:05, on 05.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\csrss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\spoolsv.exe
G:\WINDOWS\System32\PackethSvc.exe
G:\Programme\AntiVir PersonalEdition Classic\sched.exe
G:\Programme\AntiVir PersonalEdition Classic\avguard.exe
G:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
G:\WINDOWS\system32\oodag.exe
H:\PROGRA~1\OUTPOS~1.0\outpost.exe
G:\WINDOWS\system32\wdfmgr.exe
G:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
G:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
G:\WINDOWS\system32\fxssvc.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\System32\alg.exe
G:\Programme\T-DSL Business\bolog.exe
G:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
G:\Programme\Steganos AntiSpyware 7\aspy7.exe
G:\WINDOWS\System32\svchost.exe
H:\programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
H:\programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\programme\Adobe2\ActiveX\AcroIEHelper.dll
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - G:\WINDOWS\system32\zhqsd.dll (file missing)
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - H:\programme\Adobe2\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - G:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - G:\WINDOWS\system32\zhqsd.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - H:\programme\Adobe2\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [BusinessOnline Log] "G:\Programme\T-DSL Business\bolog.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "G:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [Outpost Firewall] H:\PROGRA~1\OUTPOS~1.0\outpost.exe /waitservice
O4 - HKLM\..\Run: [avgnt] "G:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [AntiSpyware7] "G:\Programme\Steganos AntiSpyware 7\aspy7.exe" /0
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://H:\programme\Adobe2\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://H:\programme\Adobe2\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://H:\programme\Adobe2\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://H:\programme\Adobe2\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://H:\programme\Adobe2\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://H:\programme\Adobe2\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://H:\programme\Adobe2\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://H:\programme\Adobe2\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - H:\PROGRA~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - G:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O16 - DPF: {B49C4597-8721-4789-9250-315DFBD9F525} (IWinAmpActiveX Class) - http://cdn.digitalcity.com/radio/ampx/ampx2.6.1.11_en_dl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E2563EF2-15C7-4176-B5E4-C11E55CAB060}: NameServer = 85.255.115.117,85.255.112.89
O23 - Service: Adobe LM Service - Adobe Systems - G:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - H+BEDV Datentechnik GmbH - G:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - H+BEDV Datentechnik GmbH - G:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - G:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe
O23 - Service: Ati HotKey Poller - Unknown owner - G:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - G:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - G:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: O&O Defrag - O&O Software GmbH - G:\WINDOWS\system32\oodag.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - H:\PROGRA~1\OUTPOS~1.0\outpost.exe
O23 - Service: Virtual NIC Service (PackethSvc) - America Online, Inc. - G:\WINDOWS\System32\PackethSvc.exe
O23 - Service: T-DSL SpeedManager (TSMService) - Unknown owner - G:\Programme\T-DSL SpeedManager\tsmsvc.exe (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - G:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

MaxSinger,

scanne Dein System mit F-Secure Blacklight und poste das entsprechende Logfeile.

dartus

@ dartus

danke für deine antwort..
habs jetzt durchlaufen lassen - hier das (einzig verfügbare) log:

04/06/06 11:42:52 [Info]: BlackLight Engine 1.0.35 initialized
04/06/06 11:42:52 [Info]: OS: 5.1 build 2600 (Service Pack 2)
04/06/06 11:42:53 [Note]: 7019 4
04/06/06 11:42:53 [Note]: 7005 0
04/06/06 11:42:55 [Note]: 7006 0
04/06/06 11:42:55 [Note]: 7011 180
04/06/06 11:42:55 [Note]: 7026 0
04/06/06 11:42:56 [Note]: 7026 0
04/06/06 11:42:56 [Note]: FSRAW library version 1.7.1015
04/06/06 11:44:17 [Note]: 7007


p.s.:

alterativ: ist es möglich das die win-firewall die ports beim ausführen
der datei geblockt hat? eine meldung habe ich nicht gesehen..

@MaxSinger
Fixe im abgesicherten Modus folgende Einträge

Zitat:

O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - G:\WINDOWS\system32\zhqsd.dll (file missing)
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - G:\WINDOWS\system32\zhqsd.dll (file missing)
O17 - HKLM\System\CCS\Services\Tcpip\..\{E2563EF2-15C7-4176-B5E4-C11E55CAB060}: NameServer = 85.255.115.117,85.255.112.89

Lösche diese komische Datei G:\WINDOWS\system32\zhqsd.dll, falls noch auffindbar ist.
Achtung:G:\WINDOWS\system32\zhqsd.dll muss nicht unbedingt so heißen

Danke...habe jetzt Fixen in mehrern Versionen gehört.
Sorry, was bedeutet das? (Dumm, wer fragt....)

Ich erlaube mir, hier für Rene-gad einzuspringen:
zu Deiner Frage das fixen betreffend (hat nix mit Drogen oder so zu tun)

Zitat:

Zitat von Anleitung zu HJT

Einsetzen von HJT – Einträge fixen:

Die Auswertung ist nun abgeschlossen und die verdächtigen Einträge sollten im abgesicherten Modus bei deaktivierter Systemwiederherstellung wie folgt entfernt werden -> Vor den genannten Einträgen einen Haken setzen und auf 'Fix Checked' klicken.

also im abgesicherten Modus HJT laufen lassen und dann vor den von Rene-gad angeführten Einträgen ein Häkchen setzen und dann auf "Fix checked" klicken!
~~Edit~Dumm wer nicht fragt ~~/Edit~~
stupormundi

@merci

hatte jetzt den richtigen gedanken, und du hast mir das nachschauen
erspart. wohlan, dann probier ich´s mal.

habe horror vor neuinstallation, falles es nicht klappt
allein die datensicherung

@stupormundi
@renegad

erstmal vielen Dank.
Here the results:

1.) Log im abgesicherten Modus und bei ausgeschalteter Systemwiederherstellung gefixt. Vorerst keine Linderung, leider.

2.) Habe AntiVir nochmals in diesem Modus durchlaufen lassen, log siehe unten

3.) Weiterhin gehts nicht zum Router oder gar ins Netz.
Ist es möglich, dass die Win-Firewall für die Blockade verantwortlich ist?
Glaub mich dunkel zu erinnern, dass sie bei Aktivierung der .exe ein
Namensänderung vorgenommen hat.

Habe allerdings keine Meldung über eine mögliche Port-Blockade von ihr
bekommen.

4.) Latein hoffentlich nicht am Ende

Hier der AntiVir (BED+V) Log:

Erstellungsdatum der Reportdatei: Freitag, 7. April 2006 12:50


Job Name: 'Manuelle Auswahl'

Es wird nach 318238 Virenstämmen gesucht.

Lizenznehmer: AntiVir PersonalEdition Classic
Seriennummer: ****
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: ****
Computername: ****

Versionsinformationen:
AVSCAN.EXE : 7.0.0.21 528424 31.01.2006 10:54:42
AVSCAN.DLL : 7.0.0.21 46632 31.01.2006 10:54:42
LUKE.DLL : 7.0.0.21 114728 31.01.2006 10:54:42
LUKERES.DLL : 7.0.0.21 28200 31.01.2006 10:54:42
ANTIVIR0.VDF : 6.32.0.60 4323840 22.02.2006 08:09:48
ANTIVIR1.VDF : 6.33.0.207 1160192 22.02.2006 08:09:50
ANTIVIR2.VDF : 6.33.1.4 144896 22.02.2006 08:09:52
ANTIVIR3.VDF : 6.33.1.17 30720 22.02.2006 08:09:52
AVEWIN32.DLL : 6.33.0.34 1044992 02.02.2006 10:21:04
AVPREF.DLL : 6.34.0.0 38440 18.01.2006 12:05:54
AVREP.DLL : 6.33.1.0 2392104 22.02.2006 08:09:52
AVPACK32.DLL : 6.33.0.6 331816 09.01.2006 09:03:38
AVREG.DLL : 6.31.0.90 27688 28.07.2005 10:06:24
NETNT.DLL : 6.32.0.0 6696 27.09.2005 07:56:48
NETNW.DLL : 6.32.0.0 9768 27.09.2005 07:56:48


Beginn des Suchlaufs: Freitag, 7. April 2006 12:50


Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'G:'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'L:'
[HINWEIS] Es wurde kein Virus gefunden!

Es wird begonnen die Registry nach ausführbaren Programmen zu durchsuchen.

Die Registry wurde durchsucht ( 15 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

G:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
G:\Dokumente und Einstellungen\****\ntuser.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
G:\Dokumente und Einstellungen\****\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
G:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
G:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
G:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
G:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
G:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
G:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
G:\WINDOWS\system32\config\default
[WARNUNG] Die Datei konnte nicht geöffnet werden!
G:\WINDOWS\system32\config\default.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
G:\WINDOWS\system32\config\SAM
[WARNUNG] Die Datei konnte nicht geöffnet werden!
G:\WINDOWS\system32\config\SAM.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
G:\WINDOWS\system32\config\SECURITY
[WARNUNG] Die Datei konnte nicht geöffnet werden!
G:\WINDOWS\system32\config\SECURITY.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
G:\WINDOWS\system32\config\software
[WARNUNG] Die Datei konnte nicht geöffnet werden!
G:\WINDOWS\system32\config\software.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
G:\WINDOWS\system32\config\system
[WARNUNG] Die Datei konnte nicht geöffnet werden!
G:\WINDOWS\system32\config\system.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Freitag, 7. April 2006 13:33
Benötigte Zeit: 43:28 min

Der Suchlauf wurde vollständig durchgeführt.

3285 Verzeichnisse wurden überprüft
156688 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1465 Archive wurden durchsucht
39 Warnungen
1 Hinweise

hallo,
konnte noch nichts ausrichten...
if anybody has time...

@MaxSinger
es wurden keine Viren gefunden. Wenn Du deinem Antivirus nicht traust - hole Dir einen anderen.

@Rene-Gad

Yeah,
aber das nach Ausführen der ominösen exe-Datei Ports blockiert sind
sollte ja ´nen Grund haben.

ok, will dich nicht damit quälen.
vielleicht weiss ja irgendjemand einen grund...

danke trotzdem!

Hallo,

hat jemand das gleiche Problem?
(Ports blockiert nach .exe-Öffnung und Win-Firewall Meldung über
Umbennenung; Mail-Client und Browsers sprechen nicht an).

User haben Log-Files angeschaut und nichts entdecken können.
Dennoch existiert das Problem weiter.

Es muss eine Lösung geben .....oder...

danke an alle.