Hallo!

Ein Arbeitskollege von mir hat eine E-Mail mit folgendem Text bekommen:

Hallo,

Sie haben eine Grusskarte bekommen,klicken Sie auf dem unten stehenenden Link, um Ihre Karte abzuholen.
Drucken Sie hier <http://greeting-e-cards.net/de/ecard_recipient.html>

Note:
Do not reply to this e-mail, it will be sent to "greeting cards".


Natürlich hat er den Link angeklickt und schwupdiwup war sein PC auch schon befallen. Der Virus äußert sich wie folgt:

* Absturz bei Explorer (natürlich somit auch Internet Explorer)
* Word geht nicht mehr zum Aufrufen
* Norton Antivirus kann kein LiveUpdate mehr ausführen
* Opera funzt auch nicht
* Spyboot & Destroy-Software kann nicht installiert werden - Installer verursacht Fehler

AdAware findet Infizierungen und bessert diese aus, fehler bleibt bestehen. Über die Kommandozeile installiere ich also den SpyWareDoctor 3.2.2, welcher über 200 (!) Ungereimtheiten entdeckt. Allerdings müsste ich mich für die Entfernung dieser "Ungereimheiten" registrieren, was ich nicht machen will, da ich keine Kohle für eine Software aufwenden möchte, bei der ich keine Garantie habe, dass sie letzten Endes auch funktioniert.

Im Internet habe ich nicht viel gefunden, außer den Hinweis auf diesen Virus: http://www.phished.de/category/trojaner/ (Suche nach 'Greeting'). Daher hoffe ich, dass einer von euch mir weiterhelfen könnte. Ich hoffe die Informationen reichen aus und jemand von euch hat bereits in der Vergangenheit ein ähnliches Problem gehabt und gelöst !

BTW: Das betroffene Betriebssystem ist Windows 2000. HijackThis wollte ich jetzt natürlich auch noch aufrufen, aber leider ist mein Kollege bereits fort und somit komme ich nicht an seinen PC ran - in -Arbeitszimmer eingeschlossen. Aber vielleicht kommt ja einer von euch ohne diese Zusatzangabe an.

Hallo,

meine Glaskugel sieht ein ungepatchtes 2000er System welches von einem IE Exploid befallen wurde und ohne physischen Zugriff auf den Rechner ist dieser Thread sinnlos.

Gruß

Schrulli

Okay, ich weiß ohne mehr Infos ist es schwer . Deshalb habe ich mir jetzt auch Zugang zum Rechner verschafft und HijackThis laufen lassen:

Hier übrigens das HijackThis-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 18:23:14, on 07.08.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\CAPRPCSN.EXE
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\WINNT\system32\spool\drivers\w32x86\2\CAPPSWN.EXE
C:\Programme\Microsoft Office\Office\Findfast.exe
C:\Programme\ScanWizard 5\ScannerFinder.exe
C:\WINNT\explorer.exe
C:\Programme\Spyware Doctor\sdhelp.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\Microsoft Office\Office\Outlook.exe
C:\Programme\Gemeinsame Dateien\System\MAPI\1031\nt\MAPISP32.EXE
C:\WINNT\Profiles\Gerd\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://home.netscape.com/home/winsearch.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aids.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://keyword.netscape.com/keyword/%s
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von A-Online
O1 - Hosts: 207.44.240.65 ads.x10.com
O1 - Hosts: 207.44.240.65 images.x10.com
O1 - Hosts: 207.44.240.65 count.exitexchange.com
O1 - Hosts: 207.44.240.65 servedby.netadvertising.com
O1 - Hosts: 207.44.240.65 images.trafficmp.com
O1 - Hosts: 207.44.240.65 ad.uk.doubleclick.net
O1 - Hosts: 207.44.240.65 ad.ca.doubleclick.net
O1 - Hosts: 207.44.240.65 ads.specificpop.com
O1 - Hosts: 207.44.240.65 ads.specificclick.com
O1 - Hosts: 207.44.240.65 ads.popupsponsor.com
O1 - Hosts: 207.44.240.65 adfarm.mediaplex.com
O1 - Hosts: 207.44.240.65 media.fastclick.net
O1 - Hosts: 207.44.240.65 media1.fastclick.net
O1 - Hosts: 207.44.240.65 media19.fastclick.net
O1 - Hosts: 207.44.240.65 media28.fastclick.net
O1 - Hosts: 207.44.240.65 media29.fastclick.net
O1 - Hosts: 207.44.240.65 media39.fastclick.net
O1 - Hosts: 207.44.240.65 adserv.internetfuel.com
O1 - Hosts: 207.44.240.65 www.satellitepop.com
O1 - Hosts: 207.44.240.65 count.exitexchange.com
O1 - Hosts: 207.44.240.65 z1.adserver.com
O1 - Hosts: 207.44.240.65 view.atdmt.com
O1 - Hosts: 207.44.240.65 servedfor.valuead.com
O1 - Hosts: 207.44.240.65 banners.valuead.com
O1 - Hosts: 207.44.240.65 img.mediaplex.com
O1 - Hosts: 207.44.240.65 ln.doubleclick.net
O1 - Hosts: 207.44.240.65 m2.doubleclick.net
O1 - Hosts: 207.44.240.65 m.doubleclick.net
O1 - Hosts: 207.44.240.65 ad.doubleclick.net
O1 - Hosts: 207.44.240.65 media28.fastclick.net
O1 - Hosts: 207.44.240.65 media39.fastclick.net
O1 - Hosts: 207.44.240.65 media.fastclick.net
O1 - Hosts: 207.44.240.65 popuptraffic.com
O1 - Hosts: 207.44.240.65 leader.linkexchange.com
O1 - Hosts: 207.44.240.65 rad.msn.com
O1 - Hosts: 207.44.240.65 view.atdmt.com
O1 - Hosts: 207.44.240.65 iv.doubleclick.net
O1 - Hosts: 207.44.240.65 focusin.ads.targetnet.com
O1 - Hosts: 207.44.240.65 a.tribalfusion.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: WindowsMessagerware Class - {1D359D18-94C9-45ff-9954-D648249D5108} - C:\WINNT\system32\ash2.dll
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Rscmpt] C:\WINNT\System32\Rscmpt.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [CAPON] C:\WINNT\system32\Spool\Drivers\w32x86\2\CAPONN.EXE
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKCU\..\Run: [5-4-50-011] c:\programme\Webdialer\5-4-50-011.exe -m
O4 - HKCU\..\Run: [5-2-145-21] c:\programme\Webdialer\5-2-145-21.exe -m
O4 - HKCU\..\Run: [od-gays5] c:\programme\Webdialer\od-gays5.exe -m
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Canon LBP-800-Statusfenster.LNK = C:\WINNT\system32\spool\drivers\w32x86\2\CAPPSWN.EXE
O4 - Global Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Microsoft-Indexerstellung.lnk = C:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: PrecisionTime.lnk = C:\Programme\PrecisionTime\PrecisionTime.exe
O4 - Global Startup: Scanner Finder.lnk = C:\Programme\ScanWizard 5\ScannerFinder.exe
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYWAR~1\tools\iesdpb.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O13 - WWW. Prefix: http://
O16 - DPF: ConferenceRoom Java Client - http://chat.rainbow.or.at/java/cr.cab
O16 - DPF: {1D870C86-AA3C-4451-81E4-71D480A1A652} - http://216.93.172.116/sub2bc.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {AB1E62EB-3DE3-428F-A417-64AB3C9B6CF0} - http://econnect.libereco.net/econnect.cab
O16 - DPF: {E504EE6E-47C6-11D5-B8AB-00D0B78F3D48} (Yahoo! Webcam Viewer Wrapper) - http://chat.yahoo.com/cab/yvwrctl.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = AHW
O17 - HKLM\System\CCS\Services\Tcpip\..\{B4C42F23-A6DC-43D6-BD89-1B13C3EC0260}: Domain = AHW
O17 - HKLM\System\CCS\Services\Tcpip\..\{B4C42F23-A6DC-43D6-BD89-1B13C3EC0260}: NameServer = 213.129.232.1,213.129.226.2,194.152.178.10
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = AHW
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = AHW
O20 - Winlogon Notify: rxx5ot - C:\WINNT\SYSTEM32\rxx5ot.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools - C:\Programme\Spyware Doctor\sdhelp.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Frage: Was passiert eigentlich, wenn ich die unerwünschten Prozesse mit diesem Programm gleich fixen probiere. Ist das ratsam? Ich weiß, dass die Frage blöd ist, aber leider sitze ich nicht mehr am Rechner und möchte zuvor von euch eine Info haben, ob ich meinen Kollegen anmailen soll, er solle die Sachen fixen ...

Hallo,

folgende Datei bei http://www.virustotal.com scannen und das Ergebnis hier posten.

Dannach installiere HJT in ein Verzeichniss wie c:\programme\HJT und fixe im abgesicherten Modus:

Zitat:

O1 - Hosts: 207.44.240.65 ads.x10.com
O1 - Hosts: 207.44.240.65 images.x10.com
O1 - Hosts: 207.44.240.65 count.exitexchange.com
O1 - Hosts: 207.44.240.65 servedby.netadvertising.com
O1 - Hosts: 207.44.240.65 images.trafficmp.com
O1 - Hosts: 207.44.240.65 ad.uk.doubleclick.net
O1 - Hosts: 207.44.240.65 ad.ca.doubleclick.net
O1 - Hosts: 207.44.240.65 ads.specificpop.com
O1 - Hosts: 207.44.240.65 ads.specificclick.com
O1 - Hosts: 207.44.240.65 ads.popupsponsor.com
O1 - Hosts: 207.44.240.65 adfarm.mediaplex.com
O1 - Hosts: 207.44.240.65 media.fastclick.net
O1 - Hosts: 207.44.240.65 media1.fastclick.net
O1 - Hosts: 207.44.240.65 media19.fastclick.net
O1 - Hosts: 207.44.240.65 media28.fastclick.net
O1 - Hosts: 207.44.240.65 media29.fastclick.net
O1 - Hosts: 207.44.240.65 media39.fastclick.net
O1 - Hosts: 207.44.240.65 adserv.internetfuel.com
O1 - Hosts: 207.44.240.65 www.satellitepop.com
O1 - Hosts: 207.44.240.65 count.exitexchange.com
O1 - Hosts: 207.44.240.65 z1.adserver.com
O1 - Hosts: 207.44.240.65 view.atdmt.com
O1 - Hosts: 207.44.240.65 servedfor.valuead.com
O1 - Hosts: 207.44.240.65 banners.valuead.com
O1 - Hosts: 207.44.240.65 img.mediaplex.com
O1 - Hosts: 207.44.240.65 ln.doubleclick.net
O1 - Hosts: 207.44.240.65 m2.doubleclick.net
O1 - Hosts: 207.44.240.65 m.doubleclick.net
O1 - Hosts: 207.44.240.65 ad.doubleclick.net
O1 - Hosts: 207.44.240.65 media28.fastclick.net
O1 - Hosts: 207.44.240.65 media39.fastclick.net
O1 - Hosts: 207.44.240.65 media.fastclick.net
O1 - Hosts: 207.44.240.65 popuptraffic.com
O1 - Hosts: 207.44.240.65 leader.linkexchange.com
O1 - Hosts: 207.44.240.65 rad.msn.com
O1 - Hosts: 207.44.240.65 view.atdmt.com
O1 - Hosts: 207.44.240.65 iv.doubleclick.net
O1 - Hosts: 207.44.240.65 focusin.ads.targetnet.com
O1 - Hosts: 207.44.240.65 a.tribalfusion.com
O2 - BHO: WindowsMessagerware Class - {1D359D18-94C9-45ff-9954-D648249D5108} - C:\WINNT\system32\ash2.dll

O4 - HKCU\..\Run: [5-4-50-011] c:\programme\Webdialer\5-4-50-011.exe -m
O4 - HKCU\..\Run: [5-2-145-21] c:\programme\Webdialer\5-2-145-21.exe -m
O4 - HKCU\..\Run: [od-gays5] c:\programme\Webdialer\od-gays5.exe -m
O13 - WWW. Prefix: http://
O16 - DPF: {1D870C86-AA3C-4451-81E4-71D480A1A652} - http://216.93.172.116/sub2bc.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.com/scan8/oscan8.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20030625/qtinstall.info.apple.com/abarth/de/win/QuickTimeInstaller.exe
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://pub.plan.at/mgaxctrlde.cab
O16 - DPF: {AB1E62EB-3DE3-428F-A417-64AB3C9B6CF0} - http://econnect.libereco.net/econnect.cab
O16 - DPF: {E504EE6E-47C6-11D5-B8AB-00D0B78F3D48} (Yahoo! Webcam Viewer Wrapper) - http://chat.yahoo.com/cab/yvwrctl.cab
O20 - Winlogon Notify: rxx5ot - C:\WINNT\SYSTEM32\rxx5ot.dll

dannach löschst Du mittels Killbox delete in reboot folgendes:

C:\WINNT\system32\ash2.dll
C:\WINNT\SYSTEM32\rxx5ot.dll

Lade Dir Regseeker, führe es mit der Option "clean the registry" aus und wähle dann alle grünen Einträge aus und drücke dann "Del".

Poste dannach ein neunes HJT Logfiel, das Ergebnis der Onlinscans und ändere alle Zugangsdaten die auf dem Rechner verwandt wurden, siehe Link.

Gruß

Schrulli

hallo,

ich bin neu hier und hab in euren schreiben das gleiche problem bei mir auf dem rechner erkannt. da ich leider mit diesen routienen noch etwas unerfahren bin, kann ich den anweisungen nicht recht folgen.
gibts da nicht ein removal tool oder so?
brauche dringend hilfe!

danke im voraus!

nachti

Hallo,
poste mal ein Log von Rootkitrevealer (File>>Save).


Grüße Wildone

Hi liebe Helfer

Hab das gleiche Prob. und habe die ash2.dll entfernen können.

Die rxx5ot.dll ist aber auf meinem ganzen Rechner nicht zu finden.

HiJack zeigt mir aber an das sie im system32 Verzeichnis ist und im IE erhalte ich auch die Fehlermeldung mit Hinweis auf diese Datei.

Ich habe mit HJ versucht zu fixen- geht nicht!
Habe dann Norton deinstalliert und AntiVir installiert, AntiVir erkennt beim Neustart sofort den Virus kann ihn aber weder löschen noch isolieren oder sonstwie unschädlich machen.

Wer kann mir bitte helfen?

(OS:Windows XP prof. mit allen Updates)

THX und liebe Grüße
DonFrancesco