Ganz viele Viren

der_virenverseuchte · 03.09.2006, 12:46

ich hab ein großes virenproblem und zwar: alle paar sekunden komment folgende virenmeldungen (wenn ich die meldungen von anti vir wegdrücke; löschen, ignorieren etc.) TR/Dldr.Agent.40448.1, TR/Vundo.Gen hier mein logfile:
Logfile of HijackThis v1.99.1
Scan saved at 13:45:36, on 03.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\isnotify.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wpabaln.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Dokumente und Einstellungen\Phil\Desktop\HijackThis.exe

O2 - BHO: (no name) - {a43385f0-7113-496d-96d7-b9b550e3fcca} - C:\WINDOWS\system32\ixt0.dll (file missing)
O2 - BHO: (no name) - {F7C8FA8C-D1F7-40FD-BE95-D58A94250765} - C:\WINDOWS\system32\iiijj.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [43d1ac6f.exe] C:\WINDOWS\system32\43d1ac6f.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: .protected
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O4 - Global Startup: .protected
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: iiijj - C:\WINDOWS\system32\iiijj.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: windwv32 - C:\WINDOWS\SYSTEM32\windwv32.dll
O21 - SSODL: incestuously - {03413bf7-e34c-445b-bfc0-a2b127255871} - C:\WINDOWS\system32\urroxtl.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

**Sunny** · 03.09.2006, 13:00

Hallo,

ob eine Bereinigung bei dir was bringt, wird sich erst noch herausstellen.

Arbeite folgende Anleitung ab:

1.) Lade dir folgende Tools ->SmitfraudFix und Vundofix, führe beide Programme aus. (bei SmitfraudFix gleich mit Punkt 2. - Bereinigung weitermachen!)
Poste dann den Inhalt Report.txt!

2.) Lass folgende Dateien bei Virustotal auswerten:

Zitat:

C:\WINDOWS\system32\iiijj.dll
C:\WINDOWS\system32\43d1ac6f.exe
C:\WINDOWS\SYSTEM32\windwv32.dll

Jede Datei einzeln auswerten, und das das gesamte Ergbenis (einschliesslich der Größe der Datei!) hier in einen Beitrag posten.

3.) ein neues Hijacklog posten!

Gruß
Sunny

der_virenverseuchte · 03.09.2006, 13:19

SmitfrauFix Report.txt:

SmitFraudFix v2.83

Scan done at 14:09:50,65, 03.09.2006
Run from C:\Dokumente und Einstellungen\Phil\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"incestuously"="{03413bf7-e34c-445b-bfc0-a2b127255871}"

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

C:\WINDOWS\system32\urroxtl.dll -> Missing File

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\.protected Deleted
C:\WINDOWS\system32\isnotify.exe Deleted
C:\WINDOWS\system32\ot.ico Deleted
C:\WINDOWS\system32\ts.ico Deleted
C:\WINDOWS\system32\components\flx?.dll Deleted
C:\DOKUME~1\ALLUSE~1\Desktop\Online Security Guide.url Deleted
C:\DOKUME~1\ALLUSE~1\Desktop\Security Troubleshooting.url Deleted
C:\DOKUME~1\Phil\FAVORI~1\Antivirus Test Online.url Deleted
C:\DOKUME~1\Phil\STARTM~1\PROGRA~1\AUTOST~1\.protected Deleted
C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url Deleted
C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url Deleted
C:\DOKUME~1\ALLUSE~1\STARTM~1\PROGRA~1\AUTOST~1\.protected Deleted
C:\Programme\Safety Bar\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

VundoFix sagt: No infected Files found.

der_virenverseuchte · 03.09.2006, 13:20

VirusTotal "iiijj.dll":

Antivirus Version Update Result
AntiVir 7.1.1.11 09.03.2006 TR/Vundo.Gen
Authentium 4.93.8 09.02.2006 no virus found
Avast 4.7.844.0 09.01.2006 no virus found
AVG 386 09.01.2006 no virus found
BitDefender 7.2 09.03.2006 no virus found
CAT-QuickHeal 8.00 09.02.2006 no virus found
ClamAV devel-20060426 09.02.2006 no virus found
DrWeb 4.33 09.03.2006 no virus found
eTrust-InoculateIT 23.72.113 09.01.2006 no virus found
eTrust-Vet 30.3.3056 09.01.2006 Win32/Vundo
Ewido 4.0 09.02.2006 no virus found
Fortinet 2.77.0.0 09.02.2006 suspicious
F-Prot 3.16f 09.01.2006 no virus found
F-Prot4 4.2.1.29 09.01.2006 no virus found
Ikarus 0.2.65.0 09.02.2006 no virus found
Kaspersky 4.0.2.24 09.03.2006 no virus found
McAfee 4843 09.01.2006 no virus found
Microsoft 1.1560 09.03.2006 no virus found
NOD32v2 1.1736 09.02.2006 no virus found
Norman 5.90.23 09.01.2006 no virus found
Panda 9.0.0.4 09.02.2006 Suspicious file
Sophos 4.09.0 09.03.2006 no virus found
Symantec 8.0 09.03.2006 no virus found
TheHacker 5.9.8.203 09.01.2006 no virus found
UNA 1.83 09.02.2006 no virus found
VBA32 3.11.1 09.03.2006 no virus found
VirusBuster 4.3.7:9 09.03.2006 no virus found

Aditional Information
File size: 692276 bytes
MD5: a41f8a5dc84ed081122ac2d0c40e1e9c
SHA1: ec63d56d9f5ab9968c8ace6acb10bcd15ab528b3
packers: embedded

der_virenverseuchte · 03.09.2006, 13:22

Die Datei gibts nicht (mehr):
C:\WINDOWS\system32\43d1ac6f.exe

der_virenverseuchte · 03.09.2006, 13:24

VirusTotal "windwv32.dll":

Antivirus Version Update Result
AntiVir 7.1.1.11 09.03.2006 TR/PCK.Klone.G.42
Authentium 4.93.8 09.02.2006 no virus found
Avast 4.7.844.0 09.01.2006 Win32:Klone-N
AVG 386 09.01.2006 no virus found
BitDefender 7.2 09.03.2006 Trojan.Spy.Agent.AB
CAT-QuickHeal 8.00 09.02.2006 no virus found
ClamAV devel-20060426 09.02.2006 no virus found
DrWeb 4.33 09.03.2006 no virus found
eTrust-InoculateIT 23.72.113 09.01.2006 no virus found
eTrust-Vet 30.3.3056 09.01.2006 no virus found
Ewido 4.0 09.02.2006 no virus found
Fortinet 2.77.0.0 09.02.2006 W32/BDoor.G!tr.bdr
F-Prot 3.16f 09.01.2006 no virus found
F-Prot4 4.2.1.29 09.01.2006 no virus found
Ikarus 0.2.65.0 09.02.2006 no virus found
Kaspersky 4.0.2.24 09.03.2006 Packed.Win32.Klone.g
McAfee 4843 09.01.2006 BackDoor-CVT
Microsoft 1.1560 09.03.2006 no virus found
NOD32v2 1.1736 09.02.2006 no virus found
Norman 5.90.23 09.01.2006 no virus found
Panda 9.0.0.4 09.02.2006 Suspicious file
Sophos 4.09.0 09.03.2006 no virus found
Symantec 8.0 09.03.2006 no virus found
TheHacker 5.9.8.203 09.01.2006 no virus found
UNA 1.83 09.02.2006 no virus found
VBA32 3.11.1 09.03.2006 no virus found
VirusBuster 4.3.7:9 09.03.2006 no virus found

Aditional Information
File size: 18944 bytes
MD5: 6e0fd0c3d0a5638dd80fc864227a0946
SHA1: 5ec45d4fe4234bfa70828205ad1bbacafaa1853f
packers: PecBundle, PECompact

**Sunny** · 03.09.2006, 13:33

Lade dir jetzt die Killbox -> Killbox

Sarte das Programm, dann einen Haken bei "delete on reboot" und folgende Dateien suchen:

Zitat:

C:\WINDOWS\system32\iiijj.dll
C:\WINDOWS\system32\43d1ac6f.exe (hier einfach den Pfadeingeben!)
C:\WINDOWS\SYSTEM32\windwv32.dll

sobald du die erste Datei gefunden hast wirst du gefragt wegen des Neustartes, erstmal mit NO antworten. Dann die nächste Datei suchen/eingeben, und erst bei der letzten Datei den Neustart mit YES beantworten.

Bitte danach ein neues Hijacklog posten.

Gruß
Sunny

Ganz viele Viren

Log-Analyse und Auswertung: Ganz viele Viren

Ganz viele Viren

Ganz viele Viren

Ganz viele Viren

Ganz viele Viren

Ganz viele Viren

Ganz viele Viren

Ganz viele Viren

Ähnliche Themen: Ganz viele Viren

03.09.2006, 13:22	#5
der_virenverseuchte	Ganz viele Viren Die Datei gibts nicht (mehr): C:\WINDOWS\system32\43d1ac6f.exe