Hallo zusammen!

Ich habe Windows XP Home Edition installiert und arbeite mit dem Virenscanner von Avast. Vor einigen Tagen begann Avast einen Trojaner anzuzeigen (leider hab ich nicht notiert wie er hieß, sorry). Ich hab ihn gelöscht, und er ist regelmäßig wiedergekommen. Daraufhin hab ich über google dieses Board gefunden und den Trojaner (hoffentlich) mit eurer Hilfe runterbekommen.

Nun scheint aber noch ein Teil davon übrig zu sein, oder ich hab noch was anderes auf dem System, denn es wird ständig eine der folgenden Seiten geöffnet (bitte nicht öffnen!):

h**p://amaena.com/securityworm5827/?p=3&h=10&ax=1&aid=nm_go_amnt6&lid=trojan
h**p://amaena.com/securityworm5/de/?aid=nm_go_spt_kw_de_de&lid=restore&h=&b=0
h**p://amaena.com/securityworm5/de/?aid=nm_go_spt_r8_de_de&lid=keyin&h=&b=0

Ich hab schon gesehen, dass auch andere hier das Problem haben, bin aber mit euren Hinweisen nicht weitergekommen. Also poste ich halt nun mein HijackThis-log und hoffe, dass ihr mir helfen könnt.

Außerdem wird seit dieser Sache mit dem Trojaner jedes Mal wenn ich den PC neu starte angezeigt, dass ein neuer BHO da sei namens oppom.dll und ob ich den erlauben wolle. Wenn ich nein anklicke, kommt die Meldung immer wieder, so lange bis ich ja anklicke. Dann ist Ruhe, bis zum nächsten Neustart.

Danke schonmal im Voraus für eure Hilfe!

Dana da Arcon



Logfile of HijackThis v1.99.1
Scan saved at 19:17:22, on 06.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Util\Avast Antivir\aswUpdSv.exe
C:\Util\Avast Antivir\ashServ.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\runservice.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Util\WINPAT~1\WinPatrol.exe
C:\Util\AVASTA~1\ashDisp.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Util\Adobe Acrobat\Distillr\Acrotray.exe
C:\Util\Quicktime\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Util\SPYWAREfighter\spfprc.exe
C:\Util\RealPopup\RealPopup.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Util\SpywareGuard\sgmain.exe
C:\WINDOWS\system32\UAService7.exe
C:\Util\SpywareGuard\sgbhp.exe
C:\Util\Avast Antivir\ashMaiSv.exe
C:\Util\Avast Antivir\ashWebSv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cidaemon.exe
D:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://login.europe.yahoo.com/config/mail?.intl=de
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Util\Adobe Acrobat\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WinPatrol] "C:\Util\WINPAT~1\WinPatrol.exe"
O4 - HKLM\..\Run: [avast!] C:\Util\AVASTA~1\ashDisp.exe
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Util\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Util\Adobe Acrobat\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Util\Quicktime\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [spywarefighterguard] C:\Util\SPYWAREfighter\spfprc.exe
O4 - HKCU\..\Run: [Fomine WinPopup] C:\Util\WinPopup\WinPopup.exe
O4 - HKCU\..\Run: [RealPopup] "C:\Util\RealPopup\RealPopup.exe" BOOT
O4 - HKCU\..\Run: [SPIEGEL-ONLINE-Alert] C:\Util\RSS-READER.exe
O4 - Startup: SpywareGuard.lnk = C:\Util\SpywareGuard\sgmain.exe
O4 - Global Startup: SpywareGuard.lnk = C:\Util\SpywareGuard\sgmain.exe
O8 - Extra context menu item: &Download by NetAnts - C:\Util\NetAnts\NAGet.htm
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Util\Adobe Acrobat\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Util\Adobe Acrobat\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Util\Adobe Acrobat\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Util\Adobe Acrobat\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Util\Adobe Acrobat\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Util\Adobe Acrobat\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Util\Adobe Acrobat\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Util\Adobe Acrobat\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download &All by NetAnts - C:\Util\NetAnts\NAGetAll.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\Util\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\Util\NetAnts\NetAnts.exe
O9 - Extra 'Tools' menuitem: &NetAnts - {57E91B47-F40A-11D1-B792-444553540000} - C:\Util\NetAnts\NetAnts.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123696057762
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Util\Avast Antivir\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Util\Avast Antivir\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Util\Avast Antivir\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Util\Avast Antivir\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LicCtrl Service (LicCtrlService) - Unknown owner - C:\WINDOWS\runservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe

Dein Log sieht soweit sauber aus. Die Programme in C:\Util sind wohl gewollt.

Zitat:

C:\Programme\Java\jre1.5.0_06\bin\jusched.exe

Java verträgt ein Update, aktuell ist Version 1.5.0_07.
Mach mal einen Check mit eScan gemäß der Anleitung in meiner Signatur.

Aaaalso, erstens hab ich jetzt Java aktualisiert, danke für den Hinweis. ^^

Dann hab ich eScan durchlaufen lassen, und er hat gleich mal zwei Trojaner gelöscht. Vielleicht wars das jetzt schon...

Do Jul 06 20:33:23 2006 => Datei wird gescannt C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\mst54.tmp
Do Jul 06 20:33:23 2006 => Datei infiziert mit "Packed.Win32.Klone.g". Vorgenommen Aktion: Datei gelöscht!
Do Jul 06 21:08:15 2006 => Datei wird gescannt C:\WINDOWS\Temp\win1655.tmp.exe
Do Jul 06 21:08:15 2006 => Datei infiziert mit "Trojan-Downloader.Win32.Small.cvw". Vorgenommen Aktion: Datei gelöscht!

Ich meld mich auf jeden Fall nochmal, auch wenn das Problem jetzt behoben sein sollte.

Ähm... zu früh gefreut.

Bisher ist zumindest keine dieser Seiten mehr aufgegangen. Aber die Meldung mit dem oppom.dll kommt immer noch, und wenn ich den PC hochfahre kommt folgende Fehlermeldung:

> Systemdienst eScan Anti-Virus Monitor wurde nicht gestartet. Die
> Anwendung wird geschlossen.

Dann hab ich versucht den Monitor zu starten, und dann kam:

> Fehler beim Laden des eScan Anti-virus Kernel.

Hab übrigens nachgeschaut, der erste Trojaner den ich drauf hatte hieß Win32Zlob-BN, falls das noch irgendwie von Nutzen ist.

*seufz* Hilfe? ^^ Soll ich dann doch mal das log vom Scan posten?

Nimm das freie MWAV-Tool, beachte die Anleitung genau!
Poste das Log, das Du mit der FIND.BAT erstellt hast.

Sorry, war übers WE weg, hier endlich der Scan.

Zitat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Jul 07 09:24:00 2006 => Object "emule P2P-worm" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Fri Jul 07 10:00:12 2006 => File C:\Util\mIRC\mirc.exe tagged as not-a-virus:Client-IRC.Win32.mIRC.612. No Action Taken.
Fri Jul 07 10:12:46 2006 => File C:\Util\WinVNC\WinVNC\othread2.dll tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. No Action Taken.
Fri Jul 07 10:12:46 2006 => File C:\Util\WinVNC\WinVNC\vnchooks.dll tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. No Action Taken.
Fri Jul 07 10:12:47 2006 => File C:\Util\WinVNC\WinVNC\winvnc.exe tagged as not-a-virus:RemoteAdmin.Win32.WinVNC-based.c. No Action Taken.
Fri Jul 07 11:01:19 2006 => File D:\***\Erledigen\Codecs\AVI CodecPack Plus 2.exe tagged as "not-a-virus:AdWare.Win32.Webdir.b". Action Taken: No Action Taken.
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Fri Jul 07 09:19:28 2006 => Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\emule !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Jul 07 11:48:34 2006 => Total Errors: 13
Fri Jul 07 11:48:34 2006 => Time Elapsed: 02:28:17
Fri Jul 07 11:48:33 2006 => Total Objects Scanned: 99993
Fri Jul 07 08:52:08 2006 => Virus Database Date: 6/28/2006
Fri Jul 07 09:17:55 2006 => Virus Database Date: 6/28/2006
Fri Jul 07 11:48:34 2006 => Virus Database Date: 6/28/2006
Fri Jul 07 12:58:57 2006 => Virus Database Date: 6/28/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
--------------------------------------------------
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\MWAV.LOG
--------------------------------------------------

MIRC und VNC scheinen gewollt zu sein, daher kannst Du diese Funde von eScan ignorieren. eMule wird auch häufiger als P2P-Wurm angemeckert, hast Du doch bewusst installiert oder?

Zitat:

File D:\***\Erledigen\Codecs\AVI CodecPack Plus 2.exe tagged as "not-a-virus:AdWare.Win32.Webdir.b".

Wo hast Du dieses Codespack her? In Codecs aus unseriösen Quellen sind häufig Schädlinge drin.

Ja, emule ist gewollt, klar.

Und das Codec-Pack ist sonstwoher, keine Ahnung mehr. Aber da es noch im erledigen-Ordner ist, hab ichs noch nicht installiert. Kann das trotzdem ein Problem sein? Ich kanns gerne löschen, wenn mir das was bringt.

Zitat:

Zitat von Dana da Arcon

Ja, emule ist gewollt, klar.

Und das Codec-Pack ist sonstwoher, keine Ahnung mehr. Aber da es noch im erledigen-Ordner ist, hab ichs noch nicht installiert. Kann das trotzdem ein Problem sein? Ich kanns gerne löschen, wenn mir das was bringt.

Keine Ahnung, was es mit der oppom.dll auf sich hat, evtl. ein Überbleibsel oder schon eine gelöschte Datei, die aus der Zlob-Infektion stammt?
Du kannst es ja mal nach dieser Anleitung probieren (genau befolgen!), Garantie für eine erfolgreiche Bereinigung gibt es keine. Es ist IMHO auch fraglich, ob wirklich nur der Zlob schuld an dieser Misere hat oder doch noch was ganz anderes Dein System befiel. Deswegen kannst Du Dir nur sicher mit einem Neuaufsetzen sein.

Also ich hab jetzt doch den PC neu gemacht, und seitdem ist erwartungsgemäß Ruhe. *seufz* Danke trotzdem für die Hilfe, nen Versuch wars ja wert...