Hallo,

Zitat:

Hatte schon Angst ich müsste das ganze System neuaufsetzten

Es gibt schlechtere Ideen bei dieser Art von Infektionen als neu aufsetzen

Zitat:

Ich denke ich werde dann wohl heut Nacht mein System mal soweit es geht säubern!

Mach mal, aber vergiß nicht danach die Logs zu posten, die kann sich dann jemand anderes anschauen, werde sehr wahrscheinlich dann nicht mehr online sein.


Grüße Wildone

Hallo,

mittlerweile weiß ich nicht mehr was ich machen soll(wird ein laaaanger post):

Ich habe also im abgesicherten Modus VundoFix gestartet - Hat nichts gefunden.
(Log):


VundoFix V5.1.6

Checking Java version...

Sun Java not detected
Scan started at 01:51:24 06.08.2006

Listing files found while scanning....

No infected files were found.


VundoFix V5.1.6

Checking Java version...

Sun Java not detected
Scan started at 09:47:37 06.08.2006

Listing files found while scanning....

No infected files were found.



Danach kam Virtmundobegone dran hat was gefunden und gelöscht
(Log):

[08/06/2006, 1:53:35] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\Fabian\Desktop\VirtumundoBeGone.exe" )
[08/06/2006, 1:53:44] - Detected System Information:
[08/06/2006, 1:53:44] - Windows Version: 5.1.2600, Service Pack 2
[08/06/2006, 1:53:44] - Current Username: Fabian (Admin)
[08/06/2006, 1:53:44] - Windows is in SAFE mode with Networking.
[08/06/2006, 1:53:44] - Searching for Browser Helper Objects:
[08/06/2006, 1:53:44] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[08/06/2006, 1:53:44] - BHO 2: {222D74B2-8AC6-4332-8A05-C57DA689D1BA} ()
[08/06/2006, 1:53:44] - WARNING: BHO has no default name. Checking for Winlogon reference.
[08/06/2006, 1:53:44] - Checking for HKLM\...\Winlogon\Notify\awvvu
[08/06/2006, 1:53:44] - Found: HKLM\...\Winlogon\Notify\awvvu - This is probably Virtumundo.
[08/06/2006, 1:53:44] - Assigning {222D74B2-8AC6-4332-8A05-C57DA689D1BA} MSEvents Object
[08/06/2006, 1:53:44] - BHO list has been changed! Starting over...
[08/06/2006, 1:53:44] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[08/06/2006, 1:53:44] - BHO 2: {222D74B2-8AC6-4332-8A05-C57DA689D1BA} (MSEvents Object)
[08/06/2006, 1:53:44] - ALERT: Found MSEvents Object!
[08/06/2006, 1:53:44] - BHO 3: {53707962-6F74-2D53-2644-206D7942484F} ()
[08/06/2006, 1:53:44] - WARNING: BHO has no default name. Checking for Winlogon reference.
[08/06/2006, 1:53:44] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[08/06/2006, 1:53:44] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[08/06/2006, 1:53:44] - Finished Searching Browser Helper Objects
[08/06/2006, 1:53:44] - *** Detected MSEvents Object
[08/06/2006, 1:53:44] - Trying to remove MSEvents Object...
[08/06/2006, 1:53:45] - Terminating Process: IEXPLORE.EXE
[08/06/2006, 1:53:45] - Terminating Process: RUNDLL32.EXE
[08/06/2006, 1:53:45] - Disabling Automatic Shell Restart
[08/06/2006, 1:53:45] - Terminating Process: EXPLORER.EXE
[08/06/2006, 1:53:45] - Suspending the NT Session Manager System Service
[08/06/2006, 1:53:46] - Terminating Windows NT Logon/Logoff Manager
[08/06/2006, 1:53:46] - Re-enabling Automatic Shell Restart
[08/06/2006, 1:53:46] - File to disable: C:\WINDOWS\system32\awvvu.dll
[08/06/2006, 1:53:46] - Renaming C:\WINDOWS\system32\awvvu.dll -> C:\WINDOWS\system32\awvvu.dll.vir
[08/06/2006, 1:53:46] - File successfully renamed!
[08/06/2006, 1:53:46] - Removing HKLM\...\Browser Helper Objects\{222D74B2-8AC6-4332-8A05-C57DA689D1BA}
[08/06/2006, 1:53:46] - Removing HKCR\CLSID\{222D74B2-8AC6-4332-8A05-C57DA689D1BA}
[08/06/2006, 1:53:46] - Adding Kill Bit for ActiveX for GUID: {222D74B2-8AC6-4332-8A05-C57DA689D1BA}
[08/06/2006, 1:53:46] - Deleting ATLEvents/MSEvents Registry entries
[08/06/2006, 1:53:46] - Removing HKLM\...\Winlogon\Notify\awvvu
[08/06/2006, 1:53:46] - Searching for Browser Helper Objects:
[08/06/2006, 1:53:46] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[08/06/2006, 1:53:46] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} ()
[08/06/2006, 1:53:46] - WARNING: BHO has no default name. Checking for Winlogon reference.
[08/06/2006, 1:53:46] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[08/06/2006, 1:53:46] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[08/06/2006, 1:53:46] - Finished Searching Browser Helper Objects
[08/06/2006, 1:53:46] - Finishing up...
[08/06/2006, 1:53:46] - A restart is needed.
[08/06/2006, 1:53:55] - Attempting to Restart via STOP error (Blue Screen!)




Die Smit-Sachen habe ich zwar nach Anleitung ausgeführt (hat aber soweit ich's mitbekommen habe nichts geholfen)
(Log):

smitRem © log file
version 3.1

by noahdfear


Microsoft Windows XP [Version 5.1.2600]
"IE"="6.0000"

Running from
C:\Dokumente und Einstellungen\Fabian\Desktop\Virusbek„mpfung\SmitRem\smitRem

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run SharedTask Export

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!


checking for WinHound.com key


WinHound.com key not present!


checking for drsmartload2 key


drsmartload2 key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
SpywareStrike uninstaller NOT present
AlfaCleaner uninstaller NOT present
SpyFalcon uninstaller NOT present
SpywareQuake uninstaller NOT present
SpywareSheriff uninstaller NOT present
Trust Cleaner uninstaller NOT present
SpyHeal uninstaller NOT present

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

amcompat.tlb
nscompat.tlb
logfiles


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1184 'explorer.exe'

Starting registry repairs

Registry repairs complete

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

SharedTask Export after registry fix

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Deleting files

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~


~~~ Wininet.dll ~~~

CLEAN!




Nachdem ich bei dem eScan log gesehen habe das bei Spybot einige Viruse in Quarantäne sind habe ich diese, nur um sicher zugehen, auch gelöscht.

Achja, diese T-Online zeug hab ich gleich mitgelöscht.

Heute morgen habe ich dann nochmal einen eScan gemacht(waren auch weniger Fehler und Funde)
(Log):

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Aug 06 09:50:54 2006 => System found infected with wareout Adware (1.dat)! Action taken: No Action Taken.
Sun Aug 06 09:50:54 2006 => System found infected with wareout Adware (2.dat)! Action taken: No Action Taken.
Sun Aug 06 09:50:54 2006 => System found infected with wareout Adware (3.dat)! Action taken: No Action Taken.
Sun Aug 06 09:50:54 2006 => System found infected with wareout Adware (1.dat)! Action taken: No Action Taken.
Sun Aug 06 09:50:54 2006 => System found infected with wareout Adware (2.dat)! Action taken: No Action Taken.
Sun Aug 06 09:50:54 2006 => System found infected with wareout Adware (3.dat)! Action taken: No Action Taken.
Sun Aug 06 09:50:54 2006 => Object "smitfraud Browser Hijacker" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Sun Aug 06 09:50:22 2006 => File C:\WINDOWS\system32\winubg32.dll infected by "Packed.Win32.Klone.g" Virus! Action Taken: No Action Taken.
Sun Aug 06 09:50:34 2006 => File C:\WINDOWS\system32\winubg32.dll infected by "Packed.Win32.Klone.g" Virus! Action Taken: No Action Taken.
Sun Aug 06 13:25:37 2006 => File C:\WINDOWS\system32\winubg32.dll infected by "Packed.Win32.Klone.g" Virus! Action Taken: No Action Taken.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Sun Aug 06 09:50:54 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\1.dat
Sun Aug 06 09:50:54 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\2.dat
Sun Aug 06 09:50:54 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\3.dat
Sun Aug 06 09:50:54 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\1.dat
Sun Aug 06 09:50:54 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\2.dat
Sun Aug 06 09:50:54 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\3.dat
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Sun Aug 06 13:21:37 2006 => File C:\WINDOWS\system32\awvvu.dll.vir tagged as "not-a-virus:AdWare.Win32.Virtumonde.da". Action Taken: No Action Taken.
Sun Aug 06 13:25:06 2006 => File C:\WINDOWS\system32\rqrqnkh.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.by". Action Taken: No Action Taken.
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Sun Aug 06 09:50:54 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\aol\c_aol 9.0\idb\bart\1024
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Aug 06 13:26:01 2006 => Total Errors: 417
Sun Aug 06 13:26:01 2006 => Time Elapsed: 03:35:24
Sun Aug 06 13:26:01 2006 => Total Objects Scanned: 198272
Sun Aug 06 09:50:05 2006 => Virus Database Date: 8/5/2006
Sun Aug 06 13:26:01 2006 => Virus Database Date: 8/5/2006
Sun Aug 06 13:26:05 2006 => Virus Database Date: 8/5/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Seit ich jetzt im Internet bin kriege ich von AntiVir wieder Meldungen.
(Datei-Fundort-Art):

wlzip32[1].exe - C:/Dokumente und Einstellungen..... - TR/Dldr.Agent.arr
11[1].exe - C:/Dokumente und Einstellungen..... - TR/Drop.Zylob.VY.11
win46D.tmp - C:/Windows/temp - TR/Drop.Zylob.VY.11
wind32[1].exe - C:/Dokumente und Einstellungen..... - TR/Dldr.VB.abm.7
win472.tmp - C:/Windows/Temp - TR/dldr.VB.abm.7



Ich glaube das wenn ich die Datei die unter anderem winubg32.dll immer wieder herstellt finde, das ganze aufhören sollte.


Danke euch allen nochmal und hoffe ihr habt auch weiterhin Lösungen parat.


[EDT]:

Hier nochmal ein neues HiJack Log(kann vielleicht noch zusätzliche Infos geben):


Logfile of HijackThis v1.99.1
Scan saved at 14:44:53, on 06.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Alcatel\SpeedTouch USB\dragdiag.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Gemeinsame Dateien\{E02EC58C-08A3-1031-1201-050721050031}\Update.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Dokumente und Einstellungen\Fabian\Desktop\HijackThis.exe

O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - h**p://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.1.0.69.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126452590406
O17 - HKLM\System\CCS\Services\Tcpip\..\{7933472A-BD75-45F5-BAC7-FDEDBE4E2D2F}: NameServer = 205.188.146.145
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: app_filter - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe (file missing)
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe (file missing)
O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe




[EDIT2]:

Habe jetzt das HiJackLog File bei HiJackthis.de auswerten lassen und die 2 bösen Einträge gelöscht:
O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{7933472A-BD75-45F5-BAC7-FDEDBE4E2D2F}: NameServer = 205.188.146.145

Hallo,

Zitat:

[EDIT2]:

Habe jetzt das HiJackLog File bei HiJackthis.de auswerten lassen und die 2 bösen Einträge gelöscht:
O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{7933472A-BD75-45F5-BAC7-FDEDBE4E2D2F}: NameServer = 205.188.146.145

das war mal purer Aktionismus, den O17 Eintrag kannst du gleich wieder zurück spielen, den ich nehme mal an das AOL dein Provider ist.
Wenn wir dir nicht explizit sagen, dass du etwas fixen sollst, dann machst du es nicht, die automatische Auswertung ist mehr als fehlerhaft.

Bevor wir die Reinigung richtig angehen, kannst du nochmal die vier Logfiles der Datfind.bat posten, aber nur die Dateien der letzten vier Wochen abkopieren!



Grüße Wildone

Zitat:

Zitat von Wildone

Hallo,

das war mal purer Aktionismus, den O17 Eintrag kannst du gleich wieder zurück spielen, den ich nehme mal an das AOL dein Provider ist.
Wenn wir dir nicht explizit sagen, dass du etwas fixen sollst, dann machst du es nicht, die automatische Auswertung ist mehr als fehlerhaft.

Sry, hab sowas wie panik bekommen


datfind.bat kommt gleich


[EDIT]:

Dann wunderst mich auch nicht mehr das Google,ebay und amazon bei Firefox nich mehr gingen.

[EDIT2]:

system32.txt:

06.08.2006 15:11 495.949 aycdd.ini
06.08.2006 14:01 495.536 aycdd.bak1
06.08.2006 14:01 573.492 ddcya.dll
06.08.2006 13:44 40.973 ddccaxx.dll
06.08.2006 13:41 1.374 wpa.dbl
06.08.2006 13:41 48.883 vsconfig.xml
06.08.2006 13:40 62.201 nvapps.xml
06.08.2006 13:40 182.166 OODBS.lor
06.08.2006 01:53 501.186 uvvwa.ini
05.08.2006 10:06 143 mcrh.tmp
04.08.2006 23:08 496.171 uvvwa.bak2
03.08.2006 20:00 228.800 FNTCACHE.DAT
03.08.2006 08:50 410.481 uvvwa.bak1
03.08.2006 08:50 573.492 awvvu.dll.vir
03.08.2006 06:47 40.973 rqrqnkh.dll
03.08.2006 06:47 18.944 winubg32.dll
03.08.2006 06:43 4.704 KGyGaAvL.sys
03.08.2006 06:39 104 6718A16F9A.sys
31.07.2006 20:21 4.212 zllictbl.dat
12.07.2006 14:19 75.194 perfc007.dat
12.07.2006 14:19 401.200 perfh009.dat
12.07.2006 14:19 415.800 perfh007.dat
12.07.2006 14:19 62.480 perfc009.dat
12.07.2006 14:18 966.250 PerfStringBackup.INI
09.07.2006 13:42 392.824 vsdatant.sys
09.07.2006 13:42 83.960 zlcomm.dll
09.07.2006 13:42 71.672 zlcommdb.dll
09.07.2006 13:42 59.384 vswmi.dll
09.07.2006 13:42 100.344 vsxml.dll
09.07.2006 13:42 71.672 vsregexp.dll
09.07.2006 13:42 440.312 vsutil.dll
09.07.2006 13:42 268.280 vspubapi.dll
09.07.2006 13:42 104.440 vsmonapi.dll
09.07.2006 13:42 157.688 vsinit.dll
09.07.2006 13:42 83.960 vsdata.dll
07.07.2006 03:21 6.757.792 MRT.exe
06.07.2006 21:31 262.144 wrap_oal.dll
06.07.2006 21:31 86.016 OpenAL32.dll

systemtemp.txt:

Datentr„ger in Laufwerk C: ist Maxtor 6L160M0 - Win XP
Volumeseriennummer: E02E-C58C

Verzeichnis von C:\DOKUME~1\Fabian\LOKALE~1\Temp

06.08.2006 15:07 4 PMShared
01.01.1970 02:00 5.863 vttvjqhy.ABI
2 Datei(en) 5.867 Bytes
0 Verzeichnis(se), 14.293.037.056 Bytes frei

system.txt:

06.08.2006 15:07 133 win.ini
06.08.2006 13:42 1.372.794 WindowsUpdate.log
06.08.2006 13:41 0 0.log
06.08.2006 13:41 159 wiadebug.log
06.08.2006 13:41 50 wiaservc.log
06.08.2006 13:40 2.048 bootstat.dat
06.08.2006 09:50 50 Lic.xxx
06.08.2006 09:45 178.182 setupact.log
06.08.2006 09:27 3.829.686 ntbtlog.txt
06.08.2006 01:59 32.536 SchedLgU.Txt
05.08.2006 23:38 69 NeroDigital.ini
05.08.2006 23:27 54.156 QTFont.qfn
05.08.2006 17:12 0 system.ini
04.08.2006 12:57 787.224 setupapi.log
04.08.2006 11:24 1.409 QTFont.for
03.08.2006 06:46 341 beatbox.INI
03.08.2006 06:44 32.418 FontData.fdb
03.08.2006 01:28 0 musicmaker.INI
03.08.2006 01:14 182.446 wmsetup.log
30.07.2006 02:17 433.967 DirectX.log
12.07.2006 13:24 234.107 tsoc.log
12.07.2006 13:24 11.796 KB917159.log
12.07.2006 13:24 23.536 ocmsn.log
12.07.2006 13:24 94.341 iis6.log
12.07.2006 13:24 102.075 ntdtcsetup.log
12.07.2006 13:24 1.374 imsins.log
12.07.2006 13:24 169.842 comsetup.log
12.07.2006 13:24 30.376 msgsocm.log
12.07.2006 13:24 305.331 ocgen.log
12.07.2006 13:24 597.567 FaxSetup.log
12.07.2006 13:24 12.309 KB914388.log
12.07.2006 13:24 1.374 imsins.BAK
12.07.2006 13:24 42.460 updspapi.log
12.07.2006 13:24 10.257 KB916595.log
08.07.2006 11:12 37 TemplateWizard.INI
07.07.2006 17:18 754 WORDPAD.INI
03.07.2006 14:42 356.864 TrueCrypt Setup.exe

sys:

06.08.2006 15:16 0 sys.txt
06.08.2006 15:14 13.505 system.txt
06.08.2006 15:13 350 systemtemp.txt
06.08.2006 15:11 112.517 system32.txt
06.08.2006 13:42 3.478 eScan_neu.txt
06.08.2006 13:40 1.610.072.064 pagefile.sys
06.08.2006 13:26 0 23990098.$$$
06.08.2006 13:26 7 AVPCallback.log
06.08.2006 09:49 372 VundoFix.txt
06.08.2006 09:46 1.069 rapport.txt
06.08.2006 02:13 3.494 smitfiles.txt
05.08.2006 23:50 4.888 eScan_neu_alt01.txt
05.08.2006 17:12 211 boot.ini
15.07.2006 15:53 77 FilterLog.log
08.07.2006 12:32 3.402 s3so.1
08.07.2006 11:48 3.402 s3h4
30.06.2006 19:01 0 error.txt

Hallo,

Zitat:

Sry, hab sowas wie panik bekommen

Brauchst du nicht, die Sache ist doch einigermaßen im Griff.

besorge dir killbox und lösche folgende Dateien(alle im System32 Ordner) mit der Option "delete on reboot":

06.08.2006 15:11 495.949 aycdd.ini
06.08.2006 14:01 495.536 aycdd.bak1
06.08.2006 14:01 573.492 ddcya.dll
06.08.2006 13:44 40.973 ddccaxx.dll
06.08.2006 01:53 501.186 uvvwa.ini
05.08.2006 10:06 143 mcrh.tmp
04.08.2006 23:08 496.171 uvvwa.bak2
03.08.2006 08:50 410.481 uvvwa.bak1
03.08.2006 08:50 573.492 awvvu.dll.vir
03.08.2006 06:47 40.973 rqrqnkh.dll
03.08.2006 06:47 18.944 winubg32.dll

danach überprüfst du mal folgende Dateien bei virustotal.com und postest das Ergebnis(oder hast du kürzlich DivX installiert?):
03.08.2006 06:43 4.704 KGyGaAvL.sys
03.08.2006 06:39 104 6718A16F9A.sys


Grüße Wildone

Erstmal danke, werd das gleich machen.

Zitat:

danach überprüfst du mal folgende Dateien bei virustotal.com und postest das Ergebnis(oder hast du kürzlich DivX installiert?):
03.08.2006 06:43 4.704 KGyGaAvL.sys
03.08.2006 06:39 104 6718A16F9A.sys

Hab's schon länger drauf aber die Tage ein Update gemacht.

dann wird es daher kommen, brauchtst sie also nicht überprüfen.
Ich habe mir gerade erklärt warum die Zeitnähe zur Infektion da ist, ich nehme mal an das du nachdem irgendein Film nicht funktioniert hat erst DivX upgedatet hast, und dann, nachdem es dadurch auch nicht funktioniert hat, dir irgendein angebliches Codec installiert hast, wodurch du dir den ganzen Spass eingefangen hast.


Grüße Wildone

Ja, weiß es zwar nimma genau

Aber ist glaub ich durchaus möglich.


Soll ich jetzt nochma mit eScan nen Test machen, oder so?

Hallo,
hast du die Dateien schon gelöscht? Escan brauche ich eigentlich nicht mehr. Ein neues HijackThis Log wäre noch ganz gut. Und später noch ein Onlinescan bei Panda(mit dem IE).


Grüße Wildone

Ja,

hab schon mit killbox restarted.


HiJackLog:

Logfile of HijackThis v1.99.1
Scan saved at 15:44:24, on 06.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Gemeinsame Dateien\{E02EC58C-08A3-1031-1201-050721050031}\Update.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Alcatel\SpeedTouch USB\dragdiag.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Fabian\Desktop\Virusbekämpfung\HijackThis.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - h**p://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.1.0.69.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126452590406
O17 - HKLM\System\CCS\Services\Tcpip\..\{7933472A-BD75-45F5-BAC7-FDEDBE4E2D2F}: NameServer = 205.188.146.145
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: app_filter - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe (file missing)
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe (file missing)
O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hallo,
gut, dann sollte es das eigentlich gewesen sein, lösche mal noch deine Temp Dateien mit Cleanup!, führe danach den Onlinescan durch und poste das Ergebnis.


Grüße Wildone

Hat zwar was gedauert, aber der Scan hat jetzt doch noch was ergeben(und diesmal werde ich warten bis mir jemand sagt was ich löschen darf und was nich ):

Ereignis Zustand Standort

Spyware:Cookie/Adtech Nicht desinfiziert C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@adtech[1].txt
Spyware:Cookie/Atlas DMT Nicht desinfiziert C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@atdmt[1].txt
Spyware:Cookie/Doubleclick Nicht desinfiziert C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@doubleclick[1].txt
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Dokumente und Einstellungen\Fabian\Desktop\Virusbekämpfung\SmitfraudFix\Process.exe
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Dokumente und Einstellungen\Fabian\Desktop\Virusbekämpfung\SmitfraudFix.zip[SmitfraudFix/Process.exe]
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Dokumente und Einstellungen\Fabian\Desktop\Virusbekämpfung\SmitRem\smitRem\Process.exe
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Dokumente und Einstellungen\Fabian\Desktop\Virusbekämpfung\smitRem.exe[smitRem/Process.exe]
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Dokumente und Einstellungen\Fabian\Desktop\Virusbekämpfung\VirtumundoBeGone.exe[²ƒÇ]
Adware:Adware/Mytoolbar Nicht desinfiziert C:\Programme\ToolBar888\Activate.exe
Adware:Adware/Mytoolbar Nicht desinfiziert C:\Programme\ToolBar888\MyToolBar.dll
Adware:Adware/DollarRevenue Nicht desinfiziert C:\Programme\ToolBar888\Uninst.exe[²ÜÇ\nsProcess.dll]



Obwohl es wohl bis auf dieses ToolBar 888 "nur" Cookies und Fehlalarme (durch die Entfernungstools) zu sein scheinen.

Hallo,
lösche jetzt noch den Ordner C:\Programme\ToolBar888\, dann sollte es das gewesen sein. Überlege dir zukünftig genau aus welchen Quellen du etwas installierst.


Grüße Wildone

Ich bin zwar nicht "Wildone", würde dir aber trotzdem gerne helfen..

1.) Lade dir die Killbox, und lösche folgenden Ordner mit der Option "delete on reboot"

Zitat:

C:\Programme\ToolBar888

2.) Scanne dein System mit Ewido und poste anschliessend den Bericht sowie nochmal ein neues Hijacklog.

Gruß
Sunny

EDIT: Huch, Wildone war ja doch da.... Sorry

Hallo,

Zitat:

EDIT: Huch, Wildone war ja doch da.... Sorry

Brauchst dich nicht entschuldigen, ist ja gut zu wissen das jemand gleich weiter macht wenn ich offline bin.
Und Ewido kann auch nicht schaden.

Grüße Wildone