Liebe Leute,


der im Betreff genannte Trojaner hat sich auf dem Notebook meiner Freundin dank einer geöffneten vermeintlichen ebay-Rechnung breit gemacht.

Zwar finden sich auch im Internet Hinweise auf die Entfernung von mit diesem Typ verwandten Trojanern. Aber leider scheint dieser Typ sich hinter anderen Dateien zu verbergen. Denn stets versuche ich die im Internet vorhandenen Anleitungen zu befolgen und die genannten Dateien mit Killbox zu entfernen, aber sie sind einfach nicht vorhanden (ich lasse keinerlei Dateien ausblenden!).

Auch habe ich bereits mehrfach Hijackthislog und verschiedene Spyware-Tools ausgeführt. Spywaredoctor und AntiVir erkennen den Trojaner auch, jedoch ohne diesen beseitigen zu können.
Die von Antivir als Übeltäter erkannte Datei mcfcc4.dll ist auch nicht auffindbar.

Nach mehreren Stunden des Versuchens bin ich mit meinem Latein am Ende.
Vielleicht kann mir einer von Euch helfen?

Eine gute Nacht wünscht
Emanuel

Hallo EmanuelWeiss,

poste bitte ein Hijackthis-Logfile.
Editiere bitte sämtliche Links und ev. persönliche Daten

Die 4 Logfiles von Datfind.bat wie beschrieben mit den Daten der letzen 3 Monate ebenfalls.

dartus

Im Folgenden finden sich die Logs. Verdächtgt ist vor allem o20 im Hijack, allerdings lässt sich wie bereits beschrieben diese Datei erst gar nicht auffinden.

Logfile of HijackThis v1.99.1
Scan saved at 14:26:02, on 09.04.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\Fast.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\System32\fast.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\NETGEAR\WG111v2 Configuration Utility\RtWLan.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Christiane\Desktop\hijackthis\HijackThis.exe

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: Viewpoint Toolbar BHO - {A7327C09-B521-4EDB-8509-7D2660C9EC98} - C:\Programme\Viewpoint\Viewpoint Toolbar\ViewBarBHO.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O3 - Toolbar: Viewpoint Toolbar - {F8AD5AA5-D966-4667-9DAF-2561D68B2012} - C:\Programme\Viewpoint\Viewpoint Toolbar\ViewBar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
O8 - Extra context menu item: &Viewpoint Search - res://C:\Programme\Viewpoint\Viewpoint Toolbar\ViewBar.dll/CXTSEARCH.HTML
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {27FA5271-12D2-43E3-9424-365A43236EE7} (PIXACO upload plugin) - http://www.pixaco.de/static/download/iedropupload.cab
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} (PIXACO Drag and Drop upload plugin) - http://www.pixaco.de/static/download/pixacodndupload.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestpatrol.com/pestscan/axscanner.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/14dd0fee3d2cae956118/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1144506313493
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O20 - Winlogon Notify: mcfCC4 - C:\WINDOWS\SYSTEM32\mcfCC4.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

Datentr„ger in Laufwerk C: ist ***
Volumeseriennummer: ***

Verzeichnis von C:\WINDOWS\system32

09.04.2006 14:19 18 tickcnt.bin
09.04.2006 14:12 68.484 ikhcore.log
08.04.2006 20:51 210.488 FNTCACHE.DAT
08.04.2006 15:52 48.552 perfc007.dat
08.04.2006 15:52 317.168 perfh007.dat
08.04.2006 15:52 40.326 perfc009.dat
08.04.2006 15:52 311.938 perfh009.dat
08.04.2006 15:52 723.744 PerfStringBackup.INI
08.04.2006 15:15 2.206 wpa.dbl
14.02.2006 09:20 550.120 LegitCheckControl.dll
18.01.2006 14:05 57.344 avsda.dll
04.01.2006 05:37 64.000 webclnt.dll
03.01.2006 00:38 260.608 gdi32.dll


Datentr„ger in Laufwerk C: ***
Volumeseriennummer: ***

Verzeichnis von C:\WINDOWS

09.04.2006 14:22 1.610.254 WindowsUpdate.log
09.04.2006 14:13 0 0.log
09.04.2006 14:13 2.048 bootstat.dat
08.04.2006 23:57 235 System.ini
08.04.2006 23:57 235 system.tmp
08.04.2006 23:56 551 win.ini
08.04.2006 23:56 551 win.tmp
08.04.2006 23:56 96.470 setupapi.log
08.04.2006 22:44 182.524 svcpack.log
08.04.2006 20:51 922 spupdsvc.log
08.04.2006 20:47 36.862 iis6.log
08.04.2006 20:47 53.712 ntdtcsetup.log
08.04.2006 20:47 91.605 comsetup.log
08.04.2006 20:47 1.355 imsins.log
08.04.2006 20:47 95.711 tsoc.log
08.04.2006 20:47 44.412 KB899587.log
08.04.2006 20:47 126.962 ocgen.log
08.04.2006 20:47 8.909 ocmsn.log
08.04.2006 20:47 11.995 msgsocm.log
08.04.2006 20:47 255.562 FaxSetup.log
08.04.2006 20:47 16.371 updspapi.log
08.04.2006 20:47 1.355 imsins.BAK
08.04.2006 20:47 43.584 KB896422.log
08.04.2006 20:46 44.521 KB885835.log
08.04.2006 20:45 41.171 KB885836.log
08.04.2006 20:44 42.683 KB911927.log
08.04.2006 20:41 634 xpsp1hfm.log
08.04.2006 20:41 34.661 KB835732.log
08.04.2006 20:36 37.678 KB901017.log
08.04.2006 20:33 37.608 KB899591.log
08.04.2006 20:30 39.244 KB896424.log
08.04.2006 20:28 38.115 KB893756.log
08.04.2006 20:25 35.919 KB896423.log
08.04.2006 20:24 35.070 KB873339.log
08.04.2006 20:23 28.988 KB914798.log
08.04.2006 20:23 35.150 KB888113.log
08.04.2006 20:22 36.214 KB896358.log
08.04.2006 20:21 30.080 KB910437.log
08.04.2006 20:20 31.004 KB905495.log
08.04.2006 20:19 27.786 KB911564.log
08.04.2006 20:19 67.265 wmsetup.log
08.04.2006 20:19 38.131 KB902400.log
08.04.2006 20:17 27.051 KB891781.log
08.04.2006 20:17 21.352 KB911565.log
08.04.2006 20:16 28.226 KB890046.log
08.04.2006 20:14 20.367 KB904706.log
08.04.2006 20:13 26.064 KB905414.log
08.04.2006 20:11 24.645 KB901214.log
08.04.2006 20:09 15.140 KB905915-IE6SP1-20051122.175908.log
08.04.2006 20:06 19.142 KB888302.log
08.04.2006 20:05 22.275 KB900725.log
08.04.2006 20:04 17.062 KB912919.log
08.04.2006 20:04 15.806 KB905749.log
08.04.2006 20:04 14.754 KB896428.log
08.04.2006 20:03 11.510 KB835409.log
08.04.2006 20:03 14.962 KB908519.log
08.04.2006 20:03 11.062 KB913446.log
08.04.2006 20:02 17.914 KB890859.log
08.04.2006 16:38 8.735 WGA.log
08.04.2006 16:37 8.764 KB898461.log
08.04.2006 16:36 9.822 KB893803v2.log
08.04.2006 16:34 6.473 KB842773.log
08.04.2006 16:34 1.082.285 setupapi.log.0.old
08.04.2006 16:34 171.956 setupact.log
08.04.2006 15:52 369 nsw.log
08.04.2006 15:21 71.520 Windows Update.log
15.03.2006 23:37 390 cdplayer.ini
15.03.2006 23:19 1.409 QTFont.for
15.03.2006 23:19 54.156 QTFont.qfn
15.03.2006 23:15 17 Missing.ini
17.02.2006 01:37 216 wiadebug.log
17.02.2006 01:10 758 musiceditor.INI
16.02.2006 18:37 50 wiaservc.log

Hallo EmanuelWeiss,

warum ist nicht auf SP 2 upgedatet?

Wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html und fixe (Scan mit HJT, Häckchen vor Eintrag und auf fix checked klicken):

O20 - Winlogon Notify: mcfCC4 - C:\WINDOWS\SYSTEM32\mcfCC4.dll

Lösche mittels "Killbox" und der Option "delete on Reboot"
C:\WINDOWS\SYSTEM32\tickcnt.bin

Systemwiederherstellung kann nach dem Neustart wieder aktiviert werden

Updaten auf SP 2 und alle weiteren Sicherheitspatches

dartus

Hallo,
sorry wenn ich mich einmische, aber ein Scan mit RootkitRevealer könnte da ev. erschreckendes zu Tage fördern, meiner Meinung nach ist hier ein Haxdoor mit Rootkit zu werke, wenn das zutreffen sollte würde nur ein Neuaufsetzen des Systems helfen.


Grüße Wildone