Hallo,

ich hoffe, dass mir jemand helfen kann.
Am Freitag hat mir Norten Antivirus folgende Viren gemeldet, konnte Sie aber nicht beseitigen:

ishost.exe
ismon.exe
downloader.exe

Nach einigen stöbern hier, habe ich den Tipp gelessen, die KillBox zu downloaden und die Viren damit entgültig zu löschen. Das hat prima funktioniert und ich war happy.

Seitdem habe ich aber noch ein weiteres Problem!

Alle 15 Minuten kommt folgender Hinweis von Norten, welchen ich immer ignorie bzw. blockiere:

folgendes programm versucht auf das Internet zu zugreifen:

idA5.temp.exe
(diese Buchstaben und Zahlenfolge variert dann immer alle 10-15 minuten)

Zu finden ist das Programm oder die Programme unter:
C:\windows\temp

Was ist das? Ist das ein überbleibsel der obigen Viren? Ich habe schon versucht im Forum was dazu zu finden, aber nichts gefunden.

Kann mir jemand helfen?

Beste Grüße,
Maste.

Hallo,

arbeite folgende Anleitung ab:

1.) Lade dir SmitfraudFix, und starte gleich mit Punkt 2. durch!
Poste anschliessend das erstellte Log von SmitfraudFix.

2.) Lade dir cccleaner und starte ihn, es ist alles schon eingestellt nur noch auf "Starte Cleaner" klicken!

3.) Erstell ein Hijacklog, Anleitung dazu in meiner Signatur verlinkt.

Gruß
Sunny

Hi.

Danke für die schnelle antwort, aber ich scheitere schon bei Punkt 1.

Sobald ich

Doppelklick auf die smitfraudfix.cmd tätige

kommt sofort von Norton AntiVirus

Bösartiges Script entdeckt. Ihr Computer wurde angehalten.

Objekt FileSystem Objekt
Aktivität Create Text File

Datei: C:\Dokumente und Einstellungen\Stefan1\Desktop\GetPaths.vbs

???? Das ist doch nicht richtig, oder?

Gruß Maste.

Deaktiviere Norton mal für die Zeit des Scans mit SmitfraudFix...

Hier schon mal zu Punkt 1.

SmitFraudFix v2.81

Scan done at 20:14:14,81, 21.08.2006
Run from C:\Dokumente und Einstellungen\Stefan1\Desktop\Neuer Ordner
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\system32\cmd32.exe Deleted
C:\WINDOWS\system32\z11.exe Deleted
C:\WINDOWS\system32\z12.exe Deleted
C:\WINDOWS\system32\z13.exe Deleted
C:\WINDOWS\system32\z14.exe Deleted
C:\WINDOWS\system32\z16.exe Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

starte den rechner jetzt einmal neu und mache dann mit punkt 2 weiter...

So und hier der Logfile of HijackThis v1.99.1

Scan saved at 20:45:06, on 21.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\rmctrl.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Gemeinsame Dateien\{C4311A1E-0707-1031-0711-030407280031}\Update.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\Hardcopy\hardcopy.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Stefan1\Desktop\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5A3E97DD-2A08-48BC-8F43-C0DEABC90266} - C:\WINDOWS\system32\wvuurrs.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\WINDOWS\system32\rmctrl.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Startup: Yahoo! Widget Engine.lnk = C:\Programme\Yahoo!\WidgetEngine\YahooWidgetEngine.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ATI CATALYST-Infobereich.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Photosmart Premier – Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZN
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab
O20 - Winlogon Notify: winbfi32 - C:\WINDOWS\SYSTEM32\winbfi32.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPxySvc.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Was sagt das aus?? Ich verstehe davon nix...

Lass mal folgende Datei bei Virustotal überprüfen:

C:\WINDOWS\SYSTEM32\winbfi32.dll

Poste anschliessend das Ergebnis, markieren, kopieren, und in einen Beitrag einfügen!

Gruß

so.. hat etwas gedauert.. aber ich hoffe es gibt neue Erkenntnisse für mich....

STATUS: FINISHEDComplete scanning result of "winbfi32.dll", received in VirusTotal at 08.21.2006, 20:56:22 (CET).

Antivirus Version Update Result
AntiVir 6.35.1.3 08.21.2006 HEUR/Backdoor.Generic
Authentium 4.93.8 08.21.2006 no virus found
Avast 4.7.844.0 08.21.2006 Win32:Klone-N
AVG 386 08.21.2006 no virus found
BitDefender 7.2 08.21.2006 no virus found
CAT-QuickHeal 8.00 08.21.2006 no virus found
ClamAV devel-20060426 08.21.2006 no virus found
DrWeb 4.33 08.21.2006 no virus found
eTrust-InoculateIT 23.72.102 08.20.2006 no virus found
eTrust-Vet 30.3.3032 08.21.2006 no virus found
Ewido 4.0 08.21.2006 no virus found
Fortinet 2.77.0.0 08.20.2006 no virus found
F-Prot 3.16f 08.21.2006 no virus found
F-Prot4 4.2.1.29 08.21.2006 no virus found
Ikarus 0.2.65.0 08.21.2006 no virus found
Kaspersky 4.0.2.24 08.21.2006 Packed.Win32.Klone.g
McAfee 4833 08.21.2006 BackDoor-CVT
Microsoft 1.1560 08.17.2006 no virus found
NOD32v2 1.1718 08.21.2006 no virus found
Norman 5.90.23 08.21.2006 no virus found
Panda 9.0.0.4 08.21.2006 Suspicious file
Sophos 4.08.0 08.21.2006 no virus found
Symantec 8.0 08.21.2006 no virus found
TheHacker 5.9.8.196 08.21.2006 no virus found
UNA 1.83 08.21.2006 no virus found
VBA32 3.11.0 08.20.2006 no virus found
VirusBuster 4.3.7:9 08.21.2006 no virus found


Aditional Information
File size: 15872 bytes
MD5: bc82fcef295273ff10153790c1c0c561
SHA1: 9e8fa8a6284ad1099847008bb7a2233fb7e783fc
packers: PecBundle, PECompact

Gruß,
Maste

Hallo Sunny,

kannst Du mir bitte noch Dein abschliedendes Urteil geben.

Gruß,
Maste.

Hallo zusammen,

habe das Problem immer noch! Wer kann mir helfen?

Please help me!

Danke.

Gruß.........