Scheißvirus

Alpa_Gun · 01.06.2006, 14:55

h**p://www.securityuptodate.net/
das kommt bei mir im IE explorer als startseite hatte diesen virus schonmal es kommen ausserdem immer pop-ups aus dem nix z.b win a million dolalr und so dreck
weiß wer zufällig wie man diesen trojaner entfernt?
EDIT: dessen namen kenne ich nicht mehr
EDIT2: hier Hijacklog:
Logfile of HijackThis v1.99.1
Scan saved at 15:59:41, on 01.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\LckFldService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\FlashFXP\flashfxp.exe
C:\Program Files\mIRC\mirc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\dcomcfg.exe
C:\WINDOWS\system32\atmclk.exe
C:\Programme\Azureus\Azureus.exe
C:\Dokumente und Einstellungen\*******\Desktop\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Nothing - {6ab7158b-4bff-4160-ad7d-4d622df548cf} - C:\WINDOWS\system32\hp100.tmp
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [kav] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BitComet] "C:\Programme\BitComet\BitComet.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{FE3040DA-8498-45E6-BC50-3F3B0FAEAAA7}: NameServer = 192.168.178.30,192.168.178.1
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
----------
EDIT3:
so meldungen kommen imemr dmait ich deren software installiere

[edit]
links editiert

GUA
[/edit]

stupormundi · 01.06.2006, 15:05

Servus!

deaktiviere umgehend alle links wie in meiner Signatur beschrieben - sonst könnte ich mir vorstellen, dass Dein thread in die Tonne wandert!

stupormundi

**Sunny** · 01.06.2006, 15:15

Hallo Alpa_Gun,

arbeite einfach diese Anleitung--->SmitfraudFix ab..
Poste danach nochmal ein frisches Hijacklog!

Gruß
Daniel

Alpa_Gun · 01.06.2006, 15:22

danke werde das morgen probieren wenn eltern im urlaub sind

GUA · 01.06.2006, 15:22

@ Alpa_Gun

bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:

http://www.trojaner-board.de/showpos...57&postcount=1

danke
GUA

felix1 · 01.06.2006, 15:24

Ich gehe davon aus, dass es der hier ist:
http://www.sophos.de/virusinfo/analyses/trojzlobik.html

Lese hier nach:
http://www.trojaner-board.de/showthread.php?t=28891

Alpa_Gun · 01.06.2006, 15:25

keine ahnung wweiß es echt nciht mehr
wie der hioeß damals

Alpa_Gun · 01.06.2006, 15:47

neues vom lande:
alles sauber geklappt bloß dieser schritt wurde ausgelasen aber der virus scheint weg zu sein:
Das Programm wird nun überprüfen, ob die wininet.dll infiziert ist. Du wirst möglicherweise gefragt, die infizierte Datei entfernen zu lassen (wenn sie gefunden wird): Replace infected file ? antworte Y (ja) und drücke auf Enter um eine saubere Datei zu bekommen.
--------
HI jack this-log:
Logfile of HijackThis v1.99.1
Scan saved at 16:46:03, on 01.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\WINDOWS\system32\LckFldService.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Programme\Azureus\Azureus.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Dokumente und Einstellungen\Sergej\Desktop\hijack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Nothing - {6ab7158b-4bff-4160-ad7d-4d622df548cf} - C:\WINDOWS\system32\hp100.tmp (file missing)
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [kav] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [BitComet] "C:\Programme\BitComet\BitComet.exe"
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{FE3040DA-8498-45E6-BC50-3F3B0FAEAAA7}: NameServer = 192.168.178.30,192.168.178.1
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: LckFldService - Unknown owner - C:\WINDOWS\system32\LckFldService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
---------
Der log von diesem tool:
SmitFraudFix v2.53

Scan done at 16:40:18,15, 01.06.2006
Run from C:\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

-
das dick markioerte ist normal oder?

**Sunny** · 01.06.2006, 15:50

sieht schon ganz gut aus, poste jetzt noch die 4 Logs der Datfind.bat damit der Rest auch noch gekillt werden kann

-->Datfind.bat

Gruß
Daniel

felix1 · 01.06.2006, 15:52

Das kann mit HJT noch gefixt werden:
O2 - BHO: Nothing - {6ab7158b-4bff-4160-ad7d-4d622df548cf} - C:\WINDOWS\system32\hp100.tmp (file missing)

01.06.2006, 15:15	#3
Sunny Administrator > Competence Manager	Scheißvirus Hallo Alpa_Gun, arbeite einfach diese Anleitung--->SmitfraudFix ab.. Poste danach nochmal ein frisches Hijacklog! Gruß Daniel __________________ __________________

01.06.2006, 15:22	#5
GUA entlassen	Scheißvirus @ Alpa_Gun bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/showpos...57&postcount=1 danke GUA

01.06.2006, 15:24	#6
felix1 /// Helfer-Team	Scheißvirus Ich gehe davon aus, dass es der hier ist: http://www.sophos.de/virusinfo/analyses/trojzlobik.html Lese hier nach: http://www.trojaner-board.de/showthread.php?t=28891 __________________ --> Scheißvirus

01.06.2006, 15:50	#9
Sunny Administrator > Competence Manager	Scheißvirus sieht schon ganz gut aus, poste jetzt noch die 4 Logs der Datfind.bat damit der Rest auch noch gekillt werden kann -->Datfind.bat Gruß Daniel __________________ Anfragen per Email, Profil- oder privater Nachricht werden ignoriert! Hilfe gibts NUR im Forum! Stulti est se ipsum sapientem putare.

01.06.2006, 15:52	#10
felix1 /// Helfer-Team	Scheißvirus Das kann mit HJT noch gefixt werden: O2 - BHO: Nothing - {6ab7158b-4bff-4160-ad7d-4d622df548cf} - C:\WINDOWS\system32\hp100.tmp (file missing) __________________ LG Der Felix Keine Hilfe per PN und E-Mail

01.06.2006, 15:05	#2
stupormundi	Scheißvirus Servus! deaktiviere umgehend alle links wie in meiner Signatur beschrieben - sonst könnte ich mir vorstellen, dass Dein thread in die Tonne wandert! stupormundi __________________ __________________

01.06.2006, 15:22	#4
Alpa_Gun	Scheißvirus danke werde das morgen probieren wenn eltern im urlaub sind

01.06.2006, 15:25	#7
Alpa_Gun	Scheißvirus keine ahnung wweiß es echt nciht mehr wie der hioeß damals

Scheißvirus

Plagegeister aller Art und deren Bekämpfung: Scheißvirus

Scheißvirus

Scheißvirus

Scheißvirus

Scheißvirus

Scheißvirus

Scheißvirus

Scheißvirus

Scheißvirus

Scheißvirus

Scheißvirus