Hallo allz,

mich nervt seit einigen Tagen "Winantivirus pro 2006", das sich beim Surfen in meinem browser regelmässig öffnet und zum download auffordert (was ich natürlich nicht getan habe).

So sieht das Popup Fenster aus:
JPG Datei ist hier hinterlegt

Folgendes hab ich rekapituliert: Ich muss mir zu 99,9%iger Sicherheit im Juni 2006 den Trojaner zugezogen. Wahrscheinlich über die Internetseite www Punkt cjb Punkt net - dort öffnete sich ein Popup Fenster (nachdem ich mich da mit einer cjb.net Adresse angemeldet habe und ein wenig auf der Internetseite gestöbert habe) und hat den Trojaner wahrscheinlich auf meinen PC gespeichert.

1.) ich habe HijackThis heruntergeladen und so sieht mein logfile aus
2.) weiterhin habe ich datFind.bat ausgeführt und die Infos beigefügt.
3.) außerdem habe ich mit LSPfix http://www.spychecker.com/program/lspfix.html Euch mal meien dll Dateien aufgelistet, die mir angezeigt werden.
4.) Folgende Bat Date habe ich ausgeführt und Euch den Inhalt mal in den Beitrag reinkopiert

cd\
dir "dir "C:\Dokumente und Einstellungen\myname\Lokale Einstellungen\Temp" >>files.txt
dir "C:\WINDOWS\Temp" >>files.txt
dir "C:\Temp" >>files.txt
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\myname\Anwendungsdaten >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
notepad files.txt



(1)

Volume in Laufwerk C: hat keine Bezeichnung.

Verzeichnis von c:\

22.06.2006 19:19 0 dirdat.txt
22.06.2006 19:11 19.515 t2lg.zip
22.06.2006 19:06 1.170 c.txt
22.06.2006 19:06 11.529 windows.txt
22.06.2006 19:05 131 temp.txt
22.06.2006 19:05 111.078 system32.txt
22.06.2006 14:18 267.968.512 hiberfil.sys
22.06.2006 14:18 402.653.184 pagefile.sys

Verzeichnis von C:\WINDOWS\system32

22.06.2006 19:12 29.184 jvienfg.dll
22.06.2006 14:18 16 magicpvt.dat
22.06.2006 08:44 29.184 graf866.dll
22.06.2006 08:44 57.344 khhhe.exe
22.06.2006 08:19 14.349 xxwutrq.dll
22.06.2006 08:01 14.349 fcyvwvt.dll
19.06.2006 09:28 45 initdebug.nfo
17.06.2006 20:34 21.840 SIntfNT.dll
17.06.2006 20:34 17.212 SIntf32.dll
17.06.2006 20:34 12.067 SIntf16.dll
15.06.2006 14:04 2.206 wpa.dbl
14.06.2006 10:35 32 driver.dat
06.06.2006 17:17 10.281 QuickTime.qtp
06.06.2006 17:15 10.037 QuickTimeFavorites.qtr

Verzeichnis von C:\WINDOWS

22.06.2006 19:16 218.600 setupapi.log
22.06.2006 14:18 0 0.log
22.06.2006 14:18 159 wiadebug.log
22.06.2006 14:18 50 wiaservc.log
22.06.2006 14:18 2.048 bootstat.dat
22.06.2006 13:21 32.564 SchedLgU.Txt
22.06.2006 11:32 192 Winamp.ini
02.06.2006 01:36 381 KTEL.INI
21.05.2006 12:06 180 Clony2.ini
21.05.2006 10:41 1.000 win.ini
18.05.2006 12:02 209.074 Windows Update.log
11.05.2006 15:12 263.369 wmsetup.log
03.05.2006 12:13 247.702 setupact.log

Verzeichnis von C:\DOKUME~1\ron\LOKALE~1\Temp



(2)

Logfile of HijackThis v1.99.1
Scan saved at 19:29:48, on 22.06.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\system32\drivers\KodakCCS.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton Internet Security Professional\NISUM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\ScsiAccess.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\NetDrive\wdservice.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton Internet Security Professional\ccPxySvc.exe
C:\PROGRA~1\SRNMIC~1\SOLOSENT.EXE
C:\PROGRA~1\SRNMIC~1\SOLOCFG.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Popup Ad Filter\PopFilter.exe
C:\Programme\ICQPlus\vplus.exe
C:\Programme\SEC\Natural Color\NaturalColorLoad.exe
C:\WINDOWS\System32\devldr32.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\myname\Lokale Einstellungen\Temp\HijackThis.exe

O2 - BHO: (no name) - {f36e8ef8-a6da-41e0-8427-75bbc8564za8} - C:\WINDOWS\System32\jvienfg.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9088923} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoloSentry] C:\PROGRA~1\SRNMIC~1\SOLOSENT.EXE
O4 - HKLM\..\Run: [SoloSchedule] C:\PROGRA~1\SRNMIC~1\SOLOCFG.EXE
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunOnce: [washindex] C:\Programme\washer\washidx.exe "ron"
O4 - HKCU\..\Run: [Popup Ad Filter] C:\Programme\Popup Ad Filter\PopFilter.exe
O4 - HKCU\..\Run: [ICQ Plus] "C:\Programme\ICQPlus\vplus.exe"
O4 - HKCU\..\RunOnce: [washindex] C:\Programme\washer\washidx.exe "ron"
O4 - Startup: Reminder 99.lnk = C:\Programme\Reminder 99\remind99.exe
O4 - Global Startup: NaturalColorLoad.lnk = C:\Programme\SEC\Natural Color\NaturalColorLoad.exe
O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BH7G72H} - http://www.pixaco.de/static/download...odndupload.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{85DC2548-73T8-4ED4-J812-E9BA4EB35536}: NameServer = 192.168.1.1
O20 - Winlogon Notify: jvienfg - C:\WINDOWS\SYSTEM32\jvienfg.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security Professional\ccPxySvc.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Professional Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security Professional\NISUM.EXE
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton AntiVirus\AdvTools\NPROTECT.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\System32\ScsiAccess.EXE
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: WebDrive Service (WebDriveService) - Unknown owner - C:\Programme\NetDrive\wdservice.exe



(3)

Winsock 2 Repair Utility

pnrpnsp.dll - PNRP Cloud Namespace Provider
mswsock.dll - TCP/IP
winrnr.dll - NTDS
rsvpsp.dll - (Protocol handler)




(4)


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 71H7-UGH5

Verzeichnis von C:\WINDOWS\Temp

02.07.2006 12:38 <DIR> .
02.07.2006 12:38 <DIR> ..
0 Datei(en) 0 Bytes
2 Verzeichnis(se), 12.838.162.432 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 71H7-UGH5

Verzeichnis von C:\

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 71H7-UGH5

Verzeichnis von C:\Programme

22.06.2006 18:40 <DIR> .
22.06.2006 18:40 <DIR> ..
31.01.2004 17:08 <DIR> ACD Systems
04.03.2006 14:56 <DIR> Adobe
21.12.2003 15:51 <DIR> Ahead
11.02.2004 20:57 <DIR> Alcohol Soft
31.03.2004 16:29 <DIR> Alien Shooter
27.10.2004 10:46 <DIR> Altova
17.02.2004 22:55 <DIR> Anark
06.07.2005 13:22 <DIR> APDFPRP
05.03.2006 11:46 <DIR> Audiograbber
22.06.2005 19:23 <DIR> Autoruns
04.10.2005 16:54 <DIR> AVI MPEG ASF WMV Splitter
15.12.2003 07:59 <DIR> Canon
11.07.2004 16:05 <DIR> Casino
22.06.2006 18:40 <DIR> CleanUp!
29.05.2005 20:13 <DIR> CloneCD
21.12.2003 22:04 <DIR> Common Files
15.12.2003 03:49 <DIR> ComPlus Applications
23.02.2005 20:01 <DIR> coolpro2
17.01.2004 13:30 <DIR> Creative
05.03.2006 11:46 <DIR> CuteFTP Pro
17.01.2004 13:12 <DIR> CyberLink
28.12.2005 19:14 <DIR> Data Becker
05.03.2006 11:46 <DIR> DaViDeo VHS
23.12.2003 17:11 <DIR> DaViDeo-3
05.03.2006 11:46 <DIR> DaViDeo3
19.03.2005 19:35 <DIR> ddm
16.12.2003 23:29 <DIR> DFš-Speed
04.05.2006 20:23 <DIR> DivX
01.02.2004 12:02 <DIR> eBay
22.06.2006 15:30 <DIR> Express Assist
04.05.2006 11:55 <DIR> File Scavenger 3.0
07.12.2004 20:08 <DIR> FileZilla
04.03.2006 16:36 <DIR> Gemeinsame Dateien
12.03.2005 19:01 <DIR> GifArt's Button Maker
17.01.2004 13:25 <DIR> Global DiVX Player
04.05.2006 20:23 <DIR> Google
29.12.2003 13:34 <DIR> Hewlett-Packard
21.12.2003 22:36 <DIR> HighMAT CD Writing Wizard
05.03.2006 11:46 <DIR> Hood
29.05.2005 20:13 <DIR> hp deskjet 990c series
15.12.2003 05:22 <DIR> IconSaver
22.06.2006 13:12 <DIR> ICQ
07.01.2004 21:54 <DIR> ICQPlus
28.12.2003 17:33 <DIR> IEEE 802.11b WLAN Utility(USB)
07.01.2004 21:38 2.495 INSTALL.LOG
29.02.2004 15:08 <DIR> Internet Explorer
17.01.2004 13:31 <DIR> InterVideo
19.08.2005 11:56 <DIR> IrfanView
28.01.2004 14:46 <DIR> Java
05.03.2006 11:46 <DIR> jv16 PowerTools
01.02.2004 19:24 <DIR> Kazaa Lite K++
05.03.2006 11:46 <DIR> Kazaa Lite Resurrection
14.05.2004 10:05 <DIR> klickTel
21.02.2004 19:10 <DIR> Kodak
23.01.2005 18:22 <DIR> Lavasoft
02.01.2006 01:10 <DIR> LucasArts
23.04.2004 13:32 <DIR> Macromedia
23.07.2005 16:40 <DIR> MadOnion
21.01.2006 10:45 <DIR> MagicRotation
19.03.2005 19:39 <DIR> Messenger
15.12.2003 03:54 <DIR> microsoft frontpage
06.01.2004 13:26 <DIR> Microsoft Office
25.05.2006 11:48 <DIR> MonkeyIsland4
12.01.2004 11:29 <DIR> Motherboard Monitor 5
28.12.2003 17:00 <DIR> Movie Maker
18.02.2004 01:17 <DIR> MPEG Encoder
15.12.2003 03:49 <DIR> MSN
15.12.2003 03:49 <DIR> MSN Gaming Zone
08.12.2005 19:42 <DIR> NetDrive
19.03.2005 19:41 <DIR> NetMeeting
05.03.2006 11:46 <DIR> Netscape
05.05.2004 17:14 <DIR> NetTransport 2
22.06.2006 15:35 <DIR> Norton AntiVirus
05.03.2006 11:46 <DIR> Norton Internet Security Professional
06.01.2004 04:38 <DIR> NVIDIA
14.01.2004 13:06 <DIR> NVIDIA2
15.12.2003 03:49 <DIR> Online Services
15.12.2003 03:52 <DIR> Online-Dienste
04.05.2006 11:37 <DIR> Ontrack
05.03.2004 13:32 <DIR> Opera7
05.03.2006 11:46 <DIR> Outlook Express
25.02.2004 00:10 <DIR> Palace
25.03.2005 20:29 <DIR> Piranha Bytes
15.12.2003 05:31 <DIR> Popup Ad Filter
25.01.2004 12:36 <DIR> PowerDVD
14.02.2004 17:58 <DIR> QuickTime
05.03.2006 11:46 <DIR> RealOne Player
21.01.2005 20:49 <DIR> RegClean
22.06.2006 18:45 <DIR> RegCleaner
22.06.2006 15:35 <DIR> ReGetDx
02.07.2006 12:12 <DIR> Reminder 99
14.05.2004 11:10 <DIR> RufIdent
16.06.2005 22:12 <DIR> S5W
02.03.2004 16:12 <DIR> Save
06.01.2006 15:12 <DIR> SEC
23.09.2004 17:43 <DIR> Sierra Online
25.06.2004 12:06 <DIR> Skype
06.01.2004 13:25 <DIR> SmartStore Shared
06.01.2004 13:33 <DIR> SmartStore.biz
21.06.2006 16:18 <DIR> SpeedFan
22.06.2006 19:43 <DIR> SRN Micro
29.12.2003 10:31 <DIR> StartEd
27.11.2005 15:46 <DIR> SurfMusik 3.1
08.04.2006 18:31 <DIR> Symantec
23.07.2004 09:18 <DIR> SymNetDrv
03.07.2004 02:06 <DIR> teamspeak2_RC2
18.12.2005 13:24 <DIR> THQ
04.02.2005 00:44 <DIR> totalcmd
04.03.2006 16:40 <DIR> TuneUp Utilities 2006
21.05.2006 12:17 <DIR> Ubisoft
03.07.2004 00:31 <DIR> Vampirjagd
28.12.2003 16:28 <DIR> VIADMATOOL
28.12.2003 16:22 <DIR> VIAhm
17.12.2003 13:41 <DIR> Viewpoint
05.03.2006 11:46 <DIR> Virtual Dub 1.4.10
17.01.2004 03:21 <DIR> washer
17.03.2005 23:24 <DIR> Whoru Alpha
10.01.2006 15:03 <DIR> Winamp
21.12.2003 22:45 <DIR> Windows Journal Viewer
05.03.2006 11:46 <DIR> Windows Media Player
15.12.2003 05:05 <DIR> Windows Media-Komponenten
15.12.2003 05:02 <DIR> Windows NT
05.03.2006 11:47 <DIR> WinFACT 6
05.03.2006 11:46 <DIR> WinHTTrack
26.05.2006 16:33 <DIR> WinLemm
06.01.2004 01:37 <DIR> WinMX
22.06.2006 10:46 <DIR> WinRAR
23.04.2006 15:52 <DIR> WinZip
15.12.2003 03:54 <DIR> xerox
29.01.2005 17:21 <DIR> xp-AntiSpy
26.05.2005 09:53 <DIR> Yahoo!
1 Datei(en) 2.495 Bytes
132 Verzeichnis(se), 12.838.154.240 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 71H7-UGH5

Verzeichnis von C:\Programme\Gemeinsame Dateien

04.03.2006 16:36 <DIR> .
04.03.2006 16:36 <DIR> ..
31.01.2004 17:08 <DIR> ACD Systems
04.03.2006 14:56 <DIR> Adobe
21.12.2003 15:51 <DIR> Ahead
27.10.2004 10:46 <DIR> Altova
15.12.2003 04:18 <DIR> Designer
15.12.2003 03:51 <DIR> Dienste
06.08.2005 15:27 <DIR> InstallShield
17.01.2004 13:31 <DIR> InterVideo
28.01.2004 14:44 <DIR> Java
21.02.2004 19:10 <DIR> Kodak
23.04.2004 13:32 <DIR> Macromedia
25.02.2004 15:57 <DIR> Microsoft Shared
17.12.2003 13:41 <DIR> mozilla.org
15.12.2003 03:50 <DIR> MSSoap
31.01.2004 22:06 <DIR> NSV
15.12.2003 03:34 <DIR> ODBC
18.12.2003 15:10 <DIR> Real
18.12.2003 14:46 <DIR> ReGet Shared
06.01.2004 13:26 <DIR> SmartStore Shared
15.12.2003 03:34 <DIR> SpeechEngines
02.07.2006 12:12 <DIR> Symantec Shared
06.01.2004 02:41 <DIR> System
25.02.2005 01:35 <DIR> Vbox
19.12.2003 00:08 <DIR> Webroot Shared
04.03.2006 16:39 <DIR> Wise Installation Wizard
18.12.2003 15:10 <DIR> xing shared
0 Datei(en) 0 Bytes
28 Verzeichnis(se), 12.838.150.144 Bytes frei

Hallo,
sieht für mich nach vundo aus, versuche es mal mit dieser Anleitung und poste danach ein neues HijackThis log.


Grüße Wildone

solange du da nichts runterladest bei der aufpopenden anfrage ob du das active x komponent laden und ausführen willst... kommtauch nichts davon auf den pc.

im HijackThis log sieht man ausser merkwürdige programme die aber vielleicht eh zu deinem pc gehören nichts.

z.B.

der reminder 99 und dieses solosent ist mir unbekannt.

den inhalt des ordners temp übrigens regelmäßig sauber halten, dann wird sich auch nichts ausbreiten können was ungewollt dortrein kam.
O2 - BHO: (no name) - {f36e8ef8-a6da-41e0-8427-75bbc8564za8} - C:\WINDOWS\System32\jvienfg.dll check


du hast aber bereits einen virenscan gemacht? und vorallem einen gegen spyware?

ergebnis?

hmm..hat das was mit dem eingefügten bild zu tun...

da sollte eine komponente von "winsoftware" im ordner downloaded programm files liegen (016!)

der einzige ersichtliche im log wirds ja nicht sein....O16 - DPF: {2EF3FB47-7B1E-4536-BA4D-51427BH7G72H} - http://www.pixaco.de/static/download...odndupload.cab

den BHO hab ich vorhin glatt übersehen...

schlimm soqas wenn man nix mehr sieht !

Hallo,

Zitat:

hmm..hat das was mit dem eingefügten bild zu tun...

Geht die Frage an mich?
Vundo erkennt man an einem BHO, in diesem Fall:
O2 - BHO: (no name) - {f36e8ef8-a6da-41e0-8427-75bbc8564za8} - C:\WINDOWS\System32\jvienfg.dll
und einem Winlogon Hooking mit gleicher Datei:
O20 - Winlogon Notify: jvienfg - C:\WINDOWS\SYSTEM32\jvienfg.dll

mit normalem fixen nicht zu entfernen, und auch Antispyware und Antivirenprogramme können es nicht beseitigen. Einzig Vundofix und Vitualmondebegone sind afaik dazu in der Lage.
Eine manuelle Beseitigung mit Hilfe des "Process Explorer" sollte auch möglich sein, ist aber nicht ganz einfach.

Edit
der O16 Eintrag sollte harmlos sein.


Grüße Wildone