Hallo,
auch ich habe mir gestern einen Virus eingefangen und bin dabei ihn zu bekämpfen. Erst hat sich Spy Sheriff installiert, den ich problemlos deinstallieren konnte. In meiner Fußleiste erscheinen aber ständig mehrere unteschiedliche Infofester mit "System Infected", "Security Alert" oder "Virus Alert" oder ähnlichem oder auch Poups und ähnliches. Auf der Suche nach diesem Virus hab ichg festgestellt, dass ich den taskmanager, sowie regedit nicht mehr starten kann (habe tools mit denen das aber noch geht). Außerdem existiert der Ordner System32 nicht mehr. Ich kann ihn nur noch mit Ausführen öffnen. Da ich die Zeit des Befalls noch weiß, konnte ich die (höchstwahrscheinlich) schädlichen Dateien in diesem Ordner ausmachen:

(regperf.exe)?
atmclk.exe (definitiv schädlich)
dcomcfg.exe (definitiv schädlich) - wurde grade hier auch besprochen:
http://www.trojaner-board.de/showthread.php?t=28784
twain32.dll
(winsapitr.exe)?

Desweiteren spinnt die Datei winlogon.exe, da sie ständig versucht eine Internetverbindung aufzubauen und auch merkwürdige aktivitäten zeigt.

Und noch mein logfile:

Logfile of HijackThis v1.99.1
Scan saved at 01:29:59, on 27.04.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir\AVGUARD.EXE
C:\Programme\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\system32\drivers\dcfssvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
c:\apache\APACHE.EXE
c:\apache\APACHE.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\atmclk.exe
C:\WINDOWS\System32\dcomcfg.exe
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\ICQ\ICQLite\ICQLite.exe
C:\Programme\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
C:\Programme\Brockhaus\PCLib.exe
C:\WINDOWS\System32\txtuser.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\Lukas\LOKALE~1\Temp\Rar$EX00.566\HijackThis.exe
C:\WINDOWS\System32\msiexec.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ\ICQToolbar\toolbaru.dll
O2 - BHO: Nothing - {edbf1bc8-39ab-48eb-a0a9-c75078eb7c8e} - C:\WINDOWS\System32\hp98D6.tmp
O3 - Toolbar: (no name) - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - (no file)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB001" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQ\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\ZoneAlarm\zlclient.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQ\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Kodak EasyShare Software.lnk = C:\Programme\KODAK\Kodak EasyShare software\bin\EasyShare.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: PC-Bibliothek-Direktsuche.lnk = C:\Programme\Brockhaus\PCLib.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQ\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {0E8D0700-75DF-11D3-8B4A-0008C7450C4A} (DjVuCtl Class) - http://www.lizardtech.com/download/files/win/djvuplugin/en_US/DjVuControl_en_US.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/13fbbdf4e6bb174dad21/netzip/RdxIE601_de.cab
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1162
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab?refid=5071
O18 - Filter: application/xhtml+xml - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Programme\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter hijack: text/xml - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Programme\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter: text/xml; charset=iso-8859-1 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Programme\Design Science\MathPlayer\MathMLMimer.dll
O18 - Filter: text/xml; charset=utf-8 - {32F66A26-7614-11D4-BD11-00104BD3F987} - C:\Programme\Design Science\MathPlayer\MathMLMimer.dll
O20 - Winlogon Notify: winsms32 - C:\WINDOWS\SYSTEM32\winsms32.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AntiVir\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: Dcfssvc - Eastman Kodak Company - C:\WINDOWS\system32\drivers\dcfssvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: PHPGeekUtil - Unknown owner - c:\apache\APACHE.EXE" --ntservice (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Danke für jegliche Hilfe!

widluk

Hab die beiden verdächtigen Dateien mal bei Virustotal durchlaufen lassen:

Complete scanning result of "dcomcfg.exe", received in VirusTotal at 04.27.2006, 01:42:33 (CET).

Antivirus Version Update Result
AntiVir 6.34.0.24 04.20.2006 no virus found
Avast 4.6.695.0 04.26.2006 no virus found
AVG 386 04.26.2006 no virus found
Avira 6.34.1.58 04.26.2006 no virus found
BitDefender 7.2 04.27.2006 Trojan.Downloader.Zlob.MJ
CAT-QuickHeal 8.00 04.26.2006 (Suspicious) - DNAScan
ClamAV devel-20060202 04.26.2006 no virus found
DrWeb 4.33 04.26.2006 no virus found
eTrust-InoculateIT 23.71.140 04.27.2006 no virus found
eTrust-Vet 12.4.2179 04.26.2006 no virus found
Ewido 3.5 04.26.2006 no virus found
Fortinet 2.71.0.0 04.26.2006 suspicious
F-Prot 3.16c 04.26.2006 no virus found
Ikarus 0.2.59.0 04.26.2006 no virus found
Kaspersky 4.0.2.24 04.27.2006 Trojan-Downloader.Win32.Zlob.mj
McAfee 4749 04.26.2006 no virus found
NOD32v2 1.1509 04.27.2006 a variant of Win32/TrojanDownloader.Zlob.MJ
Norman 5.90.17 04.26.2006 W32/Malware
Panda 9.0.0.4 04.26.2006 Suspicious file
Sophos 4.05.0 04.26.2006 no virus found
Symantec 8.0 04.27.2006 no virus found
TheHacker 5.9.7.135 04.25.2006 no virus found
UNA 1.83 04.26.2006 no virus found
VBA32 3.11.0 04.26.2006 no virus found

Aditional Information
File size: 16184 bytes
MD5: b0a555894d208be7a84d3372ccbbf596
SHA1: 6cea70e22bcf9d418c47901d43f9cbb8c3b2ef5b
Norman SandBox:
[ General information ]
* **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**.
* Accesses executable file from resource section.
* File length: 16184 bytes.

[ Changes to filesystem ]
* Deletes file .
* Creates file C:WINDOWSSYSTEM32hp9080.tmp.
* Creates file C:WINDOWSSYSTEM32stdole3.tlb.
* Deletes file C:WINDOWSSYSTEM32interf.tlb.
* Creates file C:WINDOWSSYSTEM32simpole.tlb.

[ Changes to registry ]
* Creates key "HKCRCLSID{DFB83A-".
* Sets value "default"="Nothing" in key "HKCRCLSID{DFB83A-".
* Creates key "HKCRCLSID{DFB83A-InprocServer32".
* Sets value "default"="C:WINDOWSSYSTEM32hp9080.tmp" in key "HKCRCLSID{DFB83A-InprocServer32".
* Sets value "ThreadingModel"="Apartment" in key "HKCRCLSID{DFB83A-InprocServer32".
* Creates key "HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{edbf1bc8-39ab-48eb-a0a9-c75078eb7c8e}".
* Sets value ""="" in key "HKLMSoftwareMicrosoftWindowsCurrentVersionExplorerBrowser Helper Objects{edbf1bc8-39ab-48eb-a0a9-c75078eb7c8e}".
* Creates value "dcomcfg.exe"="dcomcfg.exe" in key "HKLMSoftwareMicrosoftWindowsCurrentVersionpoliciesExplorerRun".

[ Changes to system settings ]
* Creates WindowsHook monitoring cbt activity.

[ Process/window information ]
* Creates an event called hpmInsuranceEventEx.
* Creates a mutex stdole3.tlb.
* Creates a mutex 0ac4f69b-6c3f-40f8-944f-979162a1f5eb.
* Creates an event called eb9ba1e0-de84-4017-b056-4cabab02e7a4.
* Will automatically restart after boot (I'll be back...).




Complete scanning result of "atmclk.exe", received in VirusTotal at 04.27.2006, 01:50:12 (CET).

Antivirus Version Update Result
AntiVir 6.34.0.24 04.20.2006 no virus found
Avast 4.6.695.0 04.26.2006 no virus found
AVG 386 04.26.2006 no virus found
Avira 6.34.1.58 04.26.2006 no virus found
BitDefender 7.2 04.27.2006 no virus found
CAT-QuickHeal 8.00 04.26.2006 (Suspicious) - DNAScan
ClamAV devel-20060202 04.26.2006 no virus found
DrWeb 4.33 04.26.2006 no virus found
eTrust-InoculateIT 23.71.140 04.27.2006 no virus found
eTrust-Vet 12.4.2179 04.26.2006 no virus found
Ewido 3.5 04.26.2006 no virus found
Fortinet 2.71.0.0 04.26.2006 suspicious
F-Prot 3.16c 04.26.2006 no virus found
Ikarus 0.2.59.0 04.26.2006 no virus found
Kaspersky 4.0.2.24 04.27.2006 no virus found
McAfee 4749 04.26.2006 no virus found
NOD32v2 1.1509 04.27.2006 no virus found
Norman 5.90.17 04.26.2006 no virus found
Panda 9.0.0.4 04.26.2006 Suspicious file
Sophos 4.05.0 04.26.2006 no virus found
Symantec 8.0 04.27.2006 no virus found
TheHacker 5.9.7.135 04.25.2006 no virus found
UNA 1.83 04.26.2006 no virus found
VBA32 3.11.0 04.26.2006 no virus found

Aditional Information
File size: 9900 bytes
MD5: e013272c61d9fb5a2185ee2a48290668
SHA1: 6696683af8f6c2c3ae3111e8c2020a5afbd03d63

Sende bitte die folgenden Dateien an newvirus@kaspersky.com

C:\WINDOWS\System32\atmclk.exe
C:\WINDOWS\SYSTEM32\winsms32.dll

Packe sie am besten in ein zip-Archiv, versehe es mit einem Passwort und nenne das Passwort in der Email.

Complete scanning result of "winsms32.dll", received in VirusTotal at 04.27.2006, 02:02:57 (CET).

Antivirus Version Update Result
AntiVir 6.34.0.24 04.20.2006 no virus found
Avast 4.6.695.0 04.26.2006 Win32:Trojano-BJ
AVG 386 04.26.2006 Agent.GU
Avira 6.34.1.58 04.26.2006 TR/Agent.QT.11
BitDefender 7.2 04.27.2006 no virus found
CAT-QuickHeal 8.00 04.26.2006 no virus found
ClamAV devel-20060202 04.26.2006 no virus found
DrWeb 4.33 04.26.2006 Trojan.Click.1152
eTrust-InoculateIT 23.71.140 04.27.2006 Win32/Agent.5xf!DLL!Trojan
eTrust-Vet 12.4.2179 04.26.2006 no virus found
Ewido 3.5 04.26.2006 Trojan.Agent.qt
Fortinet 2.71.0.0 04.26.2006 W32/Agent.QT!tr
F-Prot 3.16c 04.26.2006 no virus found
Ikarus 0.2.59.0 04.26.2006 Backdoor.Win32.Hupigon.BV
Kaspersky 4.0.2.24 04.27.2006 Trojan.Win32.Agent.qt
McAfee 4749 04.26.2006 no virus found
NOD32v2 1.1509 04.27.2006 Win32/TrojanDownloader.Small.CML
Norman 5.90.17 04.26.2006 W32/Agent.ZXH
Panda 9.0.0.4 04.26.2006 Adware/PurityScan
Sophos 4.05.0 04.26.2006 no virus found
Symantec 8.0 04.27.2006 Backdoor.Trojan
TheHacker 5.9.7.135 04.25.2006 no virus found
UNA 1.83 04.26.2006 Trojan.Win32.Agent
VBA32 3.11.0 04.26.2006 Trojan.Win32.Agent.qt

Aditional Information
File size: 12243 bytes
MD5: 167fbb8fc80f6d4722b60113eb1a3baa
SHA1: 15a74ac50a9b1a861949ac52b4cc54bdedef9a7e

OK, dann nur die Datei an Kaspersky senden:

C:\WINDOWS\System32\atmclk.exe

ok, gesendet

Und jetzt? Was machen wir als nächstes? Wird der Virus jetzt von kaspersky analysiert? Wie komm ich dann an lösungsansätze?

Zitat:

Zitat von widluk

Und jetzt? Was machen wir als nächstes? Wird der Virus jetzt von kaspersky analysiert? Wie komm ich dann an lösungsansätze?

Nun ja, Du könntest, die Systemwiederherstellung deaktivieren und dann im abgesicherten Modus mit der Killbox (bitte ergooglen) die drei zu beanstandenen Datei löschen (Option: on reboot).

Sorry, aber für ausführlichere Angaben ist es mir grad zu spät. Falls Dir das nicht weiterhilft, können wir gerne morgen weiter machen.

Hi

also ich habe mir den gestern eingefangen und bei mir öffnet der auch immer die PopUps und mehrer Icons in der Taskleiste von wegen Spy Sherrif und Spyware usw. Wie es halt eben auch schon bei meinem Vorgänger ist. Mein viruscaner sagt mir das in den dateien kein Virus vorhanden ist aber wenn ich den taskmanger rein gehe und die dcomcfg.exe schliesse sagt er mir das es Puper.dll und Status gelöscht ist (Trojanisches Pferd). Weis da jemand weiter.

... willkommen im Club....hatte ihn auch und musste neu aufsetzen

Gruß

Nada

Zitat:

Zitat von Vader

Hi

also ich habe mir den gestern eingefangen und bei mir öffnet der auch immer die PopUps und mehrer Icons in der Taskleiste von wegen Spy Sherrif und Spyware usw. Wie es halt eben auch schon bei meinem Vorgänger ist. Mein viruscaner sagt mir das in den dateien kein Virus vorhanden ist aber wenn ich den taskmanger rein gehe und die dcomcfg.exe schliesse sagt er mir das es Puper.dll und Status gelöscht ist (Trojanisches Pferd). Weis da jemand weiter.

Hi,

eröffne für Dein Problem bitte einen eigenen Thread. Dort kannst Du ja schon mal ein HJT-Log posten. Danke.

Das Problem habe ich schon gelöst.