Hallo allerseits,

ich habe mir vor einigen Tagen (leider durch eigene Dummheit) den o.g. Trojaner an Bord geholt. AntiVir hat ihn nach dem Hochfahren vor einigen Tagen gemeldet und Option "Zugriff verweigern" vorgeschlagen, was ich angenommen habe.

Habe dann hier im Forum gesucht und im Verlauf der letzen Stunden diverses von den Lösungswegen durchgeführt. eScan, ClearProg, AdAware, SpyBot, smitfraudfix, alles im abgesicherten Modus bei deaktivierter Systemwiederherstellung.

escan log:

[msvLclnt.dll] [0x00000acc] 15/06/2006 13:01:15:015 :ModuleName = C:\PROGRA~1\eScan\mwavscan.com
[msvLclnt.dll] [0x00000acc] 15/06/2006 13:01:16:921 :Options Set by External applications mwavscan.com are 9896960 (0x970400):
[msvLclnt.dll] [0x00000acc] 15/06/2006 13:01:16:921 :Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN
[msvLclnt.dll] [0x00000acc] 15/06/2006 13:01:16:921 :TimeOut : ffffffff
[msvLclnt.dll] [0x00000acc] 15/06/2006 13:01:16:921 :Priority : NORMAL
[msvLclnt.dll] [0x00000b08] 15/06/2006 13:01:51:015 :[00000001] File C:\Dokumente und Einstellungen\ber.BERBER-G3OMKZXG\Desktop\Set Ups\ccsetup127.exe infected by not-a-virus:RiskTool.Win32.PsKill.n
[msvLclnt.dll] [0x00000b08] 15/06/2006 13:02:26:906 :VirusCount = 192507 Latest Date = 2006/06/15

Entweder habe ich des Guten zuviel oder zu wenig getan; das Surfen geht langsamer als die letzten Tage (die jeweilige Seite baut sich fast wie gewohnt schnell auf -DSL 2000- und dann dauern die letzten paar Prozent etliche Sekunden). Außerdem starten gewöhnliche Anwendungen wie Explorer nicht wie gewohnt sofort, sondern mit "Gedenksekunde" anfangs.

Allerdings bin ich mir nicht sicher, ob dies auch damit zusammenhängen kann, daß Microsoft Update eine Reihe von Updates instalieren will, die ich -wie regelmäßg bisher- runtergeladen habe, aber jetzt noch nicht installieren wollte, solange der Trojaner noch an Bord ist. Vielleicht Unsinn, aber ich wußte es nicht anders.

Insgesamt weiß ich nicht, ob die Maßnahmen erfolgreich waren. AntiVir meldet den Trojaner nicht mehr. eScan hatte ich installiert, es aber nach dem Scan aus dem Autostart genommen.

Nach den o.g. Maßnahmen sieht mein HiJack-Logfile so aus:


Logfile of HijackThis v1.99.1
Scan saved at 17:52:43, on 15.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
E:\Sicherheit\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\winadm.exe
C:\WINDOWS\system32\winadmd.exe
J:\Sicherheit\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 148.244.150.58:80
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {D80C4E21-C346-4E21-8E64-20746AA20AEB} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [AccG160] C:\PROGRA~1\WLANQU~1\AccG160.exe
O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Zone Labs Client] E:\Sicherheit\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [_winadm] C:\WINDOWS\system32\winadm.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\mwtsp.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h***//go.***ft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://h***//update.****ft.com/micro...?1128243148968
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://h***://acs.pand****.com/activ...ree/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8FBD4505-E0C9-41AC-9C13-38F301004955}: NameServer = 192.168.1.1
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Mein System: XP Home inkl. SP2 + Updates bis vor 14 Tagen.

Ich wäre für Hilfe sehr dankbar; hoffentlich habe ich Euch mit dem vielen Text nicht "zugemüllt" :-)

VG

Putbananbrno

Hi,

Bevor man loslegen kann, müssen zwei wichtige Dinge beachtet werden.

Um eine optimale Überprüfung mit den Tools zu gewährleisten,
sollte der PC ausschließlich mit der folgenden Anweisung gescannt werden.
- PC vom Netzwerk und Internet trennen.
- Die Systemwiederherstellung deaktivieren (Nur Windows XP und ME).
- PC im abgesicherten Modus starten.
Für den Punkt 2 und 3 findet man hier eine Anleitung. http://www.systemwiederherstellung-deaktivieren.de
Benutze diese Anleitung bei allen folgenden Programmen, auch bei HijackThis.

Hast du alle Sicherheitspatches?
Service Pack 2, ca. 265 MB.
http://www.microsoft.com/downloads/details.aspx?FamilyID=049c9dbe-3b8e-4f30-8245-9e368d3cdb5a&displaylang=de
Sicherheitspatches nach Service Pack 2, ca. 82 MB.
http://download.winboard.org/downloads.php?release_id=1086

Nun kannst du mit dem Entfernen der Schädlinge beginnen.

1. Lösche bitte deinen Browser Cache und alle sonstigen Temporären Dateien.
Benutze dazu einfach die Freeware CCleaner.
http://www.ccleaner.com/ccdownload.asp
Setze bei den Einstellungen unter dem Reiter von Windows
und Anwendungen alle möglichen Häckchen und führe CCleaner aus.

2. Lade dir die kostenlose Software von Ewido herunter.
Ewido Anti-Malware, ca. 7,6 MB (nur Win 2000 und XP). http://www.ewido.net/de/download/

3. Installiere es (Bei der Installation bitte nicht den Hintergrundwächter aktivieren).
Nach der Installation der Software ist unbedingt noch das Update einzuspielen.
Einfach in der Software auf Update klicken.

4. Die Antimalware-Software starten und eine komplette
Überprüfung des Systems vornehmen. Bei einer erkannten Infektion
sollte den Anweisungen der Software gefolgt werden. Die Meldungen Tracking-Cookies sind harmlos.
5. PC wieder normal Starten und die Systemwiederherstellung aktivieren

7. Zur Kontrolle prüfe deinen PC dann mal mit dem Online-Scanner von Panda.
Findet und entfernt viele Schadprogramme, nur Spyware und Adware werden nicht bereinigt.
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
Und dem BitDefender Online Scan.
http://www.bitdefender.de/bd/site/page.php#

Wichtig!
Wenn die Scanner was finden dann poste bitte die Scan-Protokolle

Zitat:

Zitat von +Flori+

Hast du alle Sicherheitspatches?
Service Pack 2, ca. 265 MB.

Ist doch hier ersichtlich oder nicht?

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 17:52:43, on 15.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Außerdem sind STANDART TEXTE hier sicherlich nicht so sinnvoll, da meist jedes System anders behandelt werden muss!

Gruß
Daniel

Re-hi,

nach einigen Unterbrechungen habe ich jetzt alles gemacht. Erst im abgesicherten Modus mit deaktiv. Systemwiederherst.

Ccleaner mit allen Häkchen laufen lassen, dann Scan mit Ewido. Dieser Report sieht so aus:

---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 22:51:29, 15.06.2006
+ Report-Checksumme: 13F3EBC6

+ Scanergebnis:

:mozilla.7:C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Mozilla\Firefox\Profiles\8t2i9y1a.default\cookies.txt -> TrackingCookie.Hitbox : Gesäubert mit Backup

:mozilla.8:C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Mozilla\Firefox\Profiles\8t2i9y1a.default\cookies.txt -> TrackingCookie.Hitbox : Gesäubert mit Backup

:mozilla.9:C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Mozilla\Firefox\Profiles\8t2i9y1a.default\cookies.txt -> TrackingCookie.Hitbox : Gesäubert mit Backup

:mozilla.10:C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Mozilla\Firefox\Profiles\8t2i9y1a.default\cookies.txt -> TrackingCookie.Hitbox : Gesäubert mit Backup

:mozilla.13:C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Mozilla\Firefox\Profiles\8t2i9y1a.default\cookies.txt -> TrackingCookie.Hitbox : Gesäubert mit Backup

:mozilla.15:C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Mozilla\Firefox\Profiles\8t2i9y1a.default\cookies.txt -> TrackingCookie.Doubleclick : Gesäubert mit Backup

F:\MP3\Encodieren\Easyy Encoder 1.5\emp3enc.exe -> Dropper.Agent.vm : Gesäubert mit Backup

::Report Ende

Leider bekomme ich die Textformatierung nicht hin; um es besser lesbar zu machen, habe ich Absätze eingefügt.

Nach Ewido Neustart + Systemwiederherstellung wieder aktiviert.


Dann onlie gescannt Panda, der Report:

Ereignis Zustand Standort

Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Dokumente und Einstellungen\ber.BERBER-G3OMKZXG\Desktop\Trojaner usw\SmitfraudFix.zip[SmitfraudFix/Process.exe]

Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert J:\Trojaner usw\SmitfraudFix\SmitfraudFix\Process.exe

Potenziell unerwünschtes Tool:Application/KillApp.B Nicht desinfiziert J:\Tuning\Programmreste entfernen\kill.exe

Leider auch hier wieder schlechte Textformatierung, sorry!

Dann noch mit Bitdefender gescanned, Meldung sozusagen positiv

Erkannte Viren 0
Infizierte Dateien 0
verdächtige Dateien 0
Warnungen 0
Desinfiziert 0
Gelöscht 0

Ich hoffe, daß nun alles im grünen Bereich ist. Positiv fällt auf, daß die geschilderte Vrlangsamungen weg sind:-)

Vielen Dank für die Hilfe bis hierhin:-)

Für evtl. weitere Hinweise auch schon einmal danke vorab!

VG

Putbananbrno

Ich finde an Standard Texten nichts schlimmes.
Zudem hat diese Antwort schon vielen geholfen.

Außerdem geht die Welt davon nicht unter, wenn man einen frägt ob er SP2 hat und er es schon hat.