Guten Tag zusammen,

gestern Abend habe ich [OS Windows XP SP2] - warscheinlich in geistiger Umnachtung - folgender verhängnisvollen Fehler gemacht:

Die Datei "microsoft.exe" die sich plötzlich auf dem Desktop fand ausgeführt.
Anschließend versuchte sich ein dialer via modem einzuwählen. Das ist nicht so schlimm, denn ich benutzte es nicht mehr.

Anschließend habe ich denn mit einem aktuellen System-scan von Sophos das kleine Programm aufgespürt. Gelöscht werden konnte es wegen einer Zugriffsverweigerung nicht.

Hier ein Logbuchauszug:

C:\Programme\mpfPu.exe" gab SAVI-Fehler 0xa0040210 aus: Auf die Datei konnte nicht zugegriffen werden.

ebfalls verdächtig schien mir folgendes:

C:\System Volume Information\_restore{32E7BA2C-BFA1-4734-9E39-E63247D605F9}\RP102\A0017736.exe" gab SAVI-Fehler 0xa0040210 aus: Auf die Datei konnte nicht zugegriffen werden.

Dann hab ich erst mal den Treiber des modem deaktiviert und die mpfPu.exe in mpfPu.exe.dailer umbenannt.

Ich konnte feststellen, dass der dailer einen neuen User eingerichtet hat namens: DaKr.
Und die Datei mpfPu.exe ist verschlüsselt mit einem Zertifikat, dass nur vom User Dakr verwendet werden kann.
Den hatte ich aber schon gelöscht.
Und ich kann mich auch nicht unter seinem Namen anmelden.

Folgendes habe ich schon versucht:
-Hijack this
-Im abgesicherten Modus als Admin
-Spybot
-Mit meinem parallelen System (Suse Linux) Datei löschen
-Nur Eingabeaufforderung im abgesicherten Modus.
-User mit gleichem Namen neu anlegen
-google suche
-board suche

... alles ohne Erfolg.

Ich kann dieses verschlüsselte Biest nicht löschen.

Zuletzt noch der logfile von hijack this:

Logfile of HijackThis v1.99.1
Scan saved at 00:07:26, on 29.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\...\Cisco VPN Client\cvpnd.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
...
C:\Programme\OpenVPN\bin\openvpn-gui.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Programme\ACER Technology Corporation\ACER WLAN 11g USB adapter\ACERWlan.exe
C:\PROGRA~1\GEMEIN~1\Nokia\Services\SERVIC~1.EXE
C:\Programme\OpenVPN\bin\openvpn.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\...\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sb/*http://www.yahoo.com/search/ie.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*http://www.yahoo.com
O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - C:\Programme\NetXfer\NXIEHelper.dll
O2 - BHO: (no name) - {93C69D87-A11D-4FFC-BC56-BE7EE0D235BA} - (no file)
O2 - BHO: Class - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - C:\Programme\LinkOptimizer\LinkOptimizer.dll
O3 - Toolbar: NetXfer - {C16CBAAC-A75C-4DB5-A0DD-CDF5CAFCDD3A} - C:\Programme\NetXfer\NXToolBar.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
...
...
O4 - HKLM\..\Run: [openvpn-gui] C:\Programme\OpenVPN\bin\openvpn-gui.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKCU\..\Run: [GMX SMS-Manager] C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: ACER WLAN 11g USB Utility.lnk = C:\Programme\ACER Technology Corporation\ACER WLAN 11g USB adapter\ACERWlan.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: ...lnk = C:\Programme\...\Cisco VPN Client\vpngui.exe
O8 - Extra context menu item: Alles mit NetXfer herunterladen - C:\Programme\NetXfer\NXAddList.html
O8 - Extra context menu item: Herunterladen mit NetXfer - C:\Programme\NetXfer\NXAddLink.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {905A31AA-BDD1-44bd-9920-53D34E5953A4} - (no file)
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: (no name) - {9543741D-4E79-4f0d-8E60-A702CDF8B2D2} - (no file)
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - file://G:\AUTORUN\Flash\swflash.cab
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\...\Cisco VPN Client\cvpnd.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Programme\OpenVPN\bin\openvpnserv.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe


Ich hoffe von Euch Experten kann mir jemand helfen, denn ich bin mit meinem Latein wirklich am Ende.

Vielen Dank schonmal,

Hans Muff

Kleiner Nachtrag:

Die Datei wurde von "h**p://gromozon.com heruntergeladen".

Hallo hansmuff,

poste bitte ein komplettes HJT-Logfile.

dartus

Das hjt-file ist komplett. Bei "..." fehlt genau eine Zeile betreffend ein Programm das nicht jeder sehen soll.

Aber das Problem ist ja eher Windows spezifisch. Der Schädling ist ja meines Erachtens nicht mehr wirksam, o d e r ?

Dankbar für jede Antwort grüßt

Hans Muff

Habe da gerade nochwas entdeckt:

Wenn ich die msconfig ausführe wird bei den Diensten automatisch der Dienst tsCvD.exe gestartet.

Die Dateikarte für die Eigenschaften sieht so aus:


Und das ist auch interessant:


Kann mit einem kleinen tool da nicht das PW diese DakR rauskriegen ?

Hallo Hansmuff,
entweder du postest ein komplettes Logfile,oder du hilfst dir dann doch selbst....Die "Nebelstocherer" wohnen woanders........
Du wirst hier auch von niemanden ein "kleines Tool" bekommen ,das Passwörter ausliest.Du magst ja illegale Software haben,illegale Hilfe wirst du hier nicht erhalten.
Irrlicht

Zitat:

Zitat von hansmuff

Kann mit einem kleinen tool da nicht das PW diese DakR rauskriegen ?

Welchen tieferen Sinn hätte dies für dich?

Du willst das Zeug doch loswerden und nicht damit spielen, oder?

Zitat:

Du willst das Zeug doch loswerden und nicht damit spielen, oder?

Ganz genau, aber wie ?
Mir ist es vollkommen egel welches pw sich hinter den Punkten verbirgt. Ich dachte nur das könnte bei der Beseitigung hilfreich sein.

Ich dachte ihr Profis würdet da direkt klar durchblicken.

Hat denn keiner einen Tip ?

@hansmuff,

hast Du versucht mal das Passwort zu ändern oder das Profile zu deaktivieren?

dartus

@Dartus
Sry, aber Trollerei? Was soll das?
Die Antwort: DFTT
So dumm kann doch wirklich niemand sein.

@dartus

Zitat:

hast Du versucht mal das Passwort zu ändern oder das Profile zu deaktivieren?

Ja, gerade eben, aber mir wird der Zugriff verweigert.

Zitat:

@Dartus
Sry, aber Trollerei? Was soll das?
Die Antwort: DFTT
So dumm kann doch wirklich niemand sein.

Lieber Felix 1,

bis gerade wusste ich nicht einmal was ein "Troll" überhaupt ist.

Es ist mir ein Rätsel wie Du auf so eine Idee kommst. Mein Anliegen war offen und ehrlich und hat nichts mit einer Provokation zu tun.

Wenn mir wirklich jemand helfen will, dann hier nochmal ein kompletter hjt-file:

Logfile of HijackThis v1.99.1
Scan saved at 06:10:01, on 31.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\...\Cisco VPN Client\cvpnd.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Mixer.exe
C:\Programme\OpenVPN\bin\openvpn-gui.exe
C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Sophos\AutoUpdate\ALMon.exe
C:\Programme\ACER Technology Corporation\ACER WLAN 11g USB adapter\ACERWlan.exe
C:\PROGRA~1\GEMEIN~1\Nokia\Services\SERVIC~1.EXE
C:\WINDOWS\system32\wuauclt.exe
E:\Eigene Dateien\Downloads\tools\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/sp/*h**p://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://red.clientapps.yahoo.com/customize/ycomp_wave/defaults/su/*h**p://www.yahoo.com
O2 - BHO: NetXfer - {83B80A9C-D91A-4F22-8DCF-EA7204039F79} - (no file)
O2 - BHO: CACABHO Object - {93C69D87-A11D-4FFC-BC56-BE7EE0D235BA} - C:\Programme\ACASystems\ACACapturePro\scap003p.dll
O2 - BHO: Class - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - C:\Programme\LinkOptimizer\LinkOptimizer.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [openvpn-gui] C:\Programme\OpenVPN\bin\openvpn-gui.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\NCLTools\NclTray.exe
O4 - HKCU\..\Run: [GMX SMS-Manager] C:\Programme\GMX\GMX SMS-Manager\SMSMngr.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: ACER WLAN 11g USB Utility.lnk = C:\Programme\ACER Technology Corporation\ACER WLAN 11g USB adapter\ACERWlan.exe
O4 - Startup: Verknüpfung mit ipsecdialer.lnk = C:\Programme\...\Cisco VPN Client\ipsecdialer.exe
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Programme\Sophos\AutoUpdate\ALMon.exe
O4 - Global Startup: ... Cisco VPN Client.lnk = C:\Programme\...\Cisco VPN Client\vpngui.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Launch ACA Capture Pro - {905A31AA-BDD1-44bd-9920-53D34E5953A4} - C:\Programme\ACASystems\ACACapturePro\SCapPro.exe
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: (no name) - {9543741D-4E79-4f0d-8E60-A702CDF8B2D2} - C:\Programme\ACASystems\ACACapturePro\SCapPro.exe
O9 - Extra 'Tools' menuitem: Launch ACA Capture Pro - {9543741D-4E79-4f0d-8E60-A702CDF8B2D2} - C:\Programme\ACASystems\ACACapturePro\SCapPro.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - file://G:\AUTORUN\Flash\swflash.cab
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\...\Cisco VPN Client\cvpnd.exe
O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Programme\OpenVPN\bin\openvpnserv.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: Sophos AutoUpdate Service - Sophos plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe

Einen schöne Tag wünscht

Hans Muff

Tja, schade.

Hätte gedacht, dass mir hier jemand weiterhelfen könnte. Aber das hat felix 1 mit seinem unsinnigen Kommentar scheinbar abgewürgt.

Es grüßt

Hans Muff.

Howdy,

Hast du den problem gelöst? Es könnte den Gromozon Rootkit sein dass Prevx ein tool dafur hat.