Hilfe habe glaub Trojaner an Board!

sOnixX · 04.09.2006, 22:36

System läuft instabil, Fenster schliessen sich von alleine. Hier meine Log-File:
THX!!

Logfile of HijackThis v1.99.1
Scan saved at 23:33:10, on 04.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\MSI\Star Key Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Microsoft IntelliPoint\ipoint.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\Nokia\NOKIAP~2\LAUNCH~1.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\{C4A9F24E-0770-1031-1112-040310170031}\Update.exe
C:\Programme\Nokia\Nokia PC Suite 6\PCSync2.exe
C:\Dokumente und Einstellungen\sOnixX\Lokale Einstellungen\Anwendungsdaten\dd22c90d.exe
C:\Programme\MSI\Star Key Bluetooth Software\BTTray.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\NclBTHandler.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\TEMP\idd6B.tmp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\sOnixX\LOKALE~1\Temp\Rar$EX00.172\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~2\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [dd22c90d.exe] C:\WINDOWS\system32\dd22c90d.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" AcPro7_0_7 -reboot 1
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PCSync2.exe /NoDialog
O4 - HKCU\..\Run: [dd22c90d.exe] C:\Dokumente und Einstellungen\sOnixX\Lokale Einstellungen\Anwendungsdaten\dd22c90d.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(3).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\MSI\Star Key Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Star Key Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\MSI\Star Key Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,84/mcinsctl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120521266000
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,21/mcgdmgr.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{79309A0D-7BDD-43AB-AAE7-70EC9B51C609}: NameServer = 195.50.140.178 195.50.140.114
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\MSI\Star Key Bluetooth Software\bin\btwdins.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\eEBSVC.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: kavsvc - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe (file missing)
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Tesko · 05.09.2006, 00:06

Nabend sOnixX,

also auf anhib kann ich schonmal sagen das die C:\Programme\Gemeinsame Dateien\{C4A9F24E-0770-1031-1112-040310170031}\Update.exe
da schonmal mit sicherheit nicht hin gehört. Aber so wie das aussieht ist dein gesamter Rechner ein einziger Virus!

Habe auch gleich mal eine frage zu euren ATI.exe´n, also ich gehe ja mal davon aus das es sich dabei um eine Anwendung einer ATI Grafikkarte handelt. Verstehe dann aber nicht wieso die Anzahl der ATI.exe bei jedem der Auszüge die ich jetzt hier gelesen habe vareirt.

Kann mir da vieleicht mal jemand eine Antwort drauf geben ?

Gruß
Tesko

stupormundi · 05.09.2006, 08:14

Servus, sonixx!

Lass´ mal folgende Dateien

Zitat:

C:\WINDOWS\TEMP\idd6B.tmp.exe
C:\WINDOWS\system32\dd22c90d.exe

bei http://virusscan.jotti.org/de und/oder http://www.virustotal.com/en/indexf.html prüfen und poste das Ergebnis anschließend hier. Falls Du bei Jotti eine Fehlermeldung (0 bytes ...) bekommst, beende den zur Datei gehörenden Prozess und/oder deaktiviere temporär Deine Personal FireWall.
Sollte beides nichts bringen, kopiere die Dateien in ein anderes Verzeichnis, benenne sie um und versuche es damit. Zum Auffinden versteckter Dateien nutze den link in meiner Signatur. Achte bei den angegebenen Dateinamen auf die genaue Schreibweise und den exakten Pfad!
Und entpacke HJT in ein eigenes Verzeichnis - im Temporärordner wie derzeit bei Dir funktionieren die mitunter wichtigen Backups nicht!
stupormundi

sOnixX · 05.09.2006, 08:47

Datei: idd6B.tmp.exe
Auslastung:
0% 100%
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
PINGVIN

AntiVir
Trojan/Dialer.QY.2 gefunden
ArcaVir
Dialer.Qy gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Dialer.CDL gefunden
BitDefender
Trojan.Dialer.QY gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Dialer.Riprova gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
W32/Dialer.46!tr gefunden
Kaspersky Anti-Virus
Trojan.Win32.Dialer.qy gefunden
NOD32
Win32/Dialer.U gefunden
Norman Virus Control
W32/Dialer.AHLN gefunden
UNA
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Trojan.Win32.Dialer.qy gefunden

Datei: dd22c90d.exe
Auslastung:
0% 100%
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
PE_PATCH.UPX, UPX

AntiVir
Trojan/Dldr.Agent.aar gefunden
ArcaVir
Trojan.Downloader.Obfuscated.A gefunden
Avast
Win32:Trojan-gen. gefunden
AVG Antivirus
Downloader.Generic2.CXP gefunden
BitDefender
Trojan.Downloader.Agent.YL gefunden
ClamAV
Trojan.Downloader.Small-1762 gefunden
Dr.Web
Trojan.Popuper gefunden
F-Prot Antivirus
Keine Viren gefunden
Fortinet
W32/DLOADER.AVS!tr gefunden
Kaspersky Anti-Virus
Trojan-Downloader.Win32.Obfuscated.a gefunden
NOD32
Win32/TrojanDownloader.Busky.AM gefunden
Norman Virus Control
W32/Zlob.IVZ gefunden
UNA
Keine Viren gefunden
VirusBuster
Trojan.DL.Obfuscated.A gefunden
VBA32
Trojan.Popuper gefunden

sOnixX · 05.09.2006, 13:33

hallo!

kann mir jetzt jemand sagen mit welchem tool ich meinen rechner am besten wieder säubern kann? danke!!

sOnixX · 05.09.2006, 21:08

Danke!!!!!

stupormundi · 06.09.2006, 05:35

Servus, sonixx!

Bist Du etwas ungeduldig? Alle die hier helfen, tun das freiwillig und in der Freizeit und unbezahlt - daher wirst Du dich auch schon etwas gedulden können!

Zum gefundenen Porndialer: Falls Du nicht ausschließlich ein DSL Anschluss betreibst, sichere das unten angeführte HJT Log und die Dialer-Datei auf Diskette (für allf. Nachweiszwecke) und checke Deine Verbindungsabrechnungen.
Dann arbeite mal diese Anleitung durch und poste anschließend die zitierten Logs (C:\smitfiles.txt, neues HJT Log, datfind.bat, Kaspersky)

stupormundi

King of Chaos · 08.09.2006, 15:31

wollte mal schnell noch anmerken mit was sich der virus verbreitet.
du wirst wenn dir der virus über msn zugeschcikt wird diese nachricht dauerhaft bekommen:
-----------------------------------------------------------------------
bist du das auf diesem foto h**p://www.photodbase.***/photo223.PIF
---------------------------------------------------------------------------
ja nie draufklciken die sobald du die datei downgeodet hast wird sie autmatisch an jeden in deiner kontaktiste verbreitet.
MfG
King of chaos

entschärft durch Shadow
auf wunsch noch weiter abstrahiert

**Sunny** · 08.09.2006, 15:38

Zitat:

Zitat von King of Chaos

wollte mal schnell noch anmerken mit was sich der virus verbreitet.
du wirst wenn dir der virus über msn zugeschcikt wird diese nachricht dauerhaft bekommen:
-----------------------------------------------------------------------
bist du das auf diesem foto h**p://www.photodbase.***/photo223.PIF
---------------------------------------------------------------------------
ja nie draufklciken die sobald du die datei downgeodet hast wird sie autmatisch an jeden in deiner kontaktiste verbreitet.
MfG
King of chaos

@King of Chaos

Bitte editiere unverzüglich diesen LINK, dabei geht es um das VIRUS zum downloaden!!!

!!!BITTE NICHT DEN LINK KOPIEREN oder AUSFÜHREN!!!
Keine Ahnung ob es Schaden geben kann, aber auf einen Versuch lass ich es nicht ankommen!!!

entlinkt by Shadow

**Sunny** · 08.09.2006, 18:25

und Ich Trottel Nehme Es Auch Noch Als Zitat Auf!!! Kann Das Mal Bitte Einer Löschen! Danke

Edit: Erledigt + Du bist kein Trottel, kann jedem passieren ;-) (sollte aber nicht)
Anmerkung des müden, maladen Moderators:
Bitte schreibt vorallem gefährliche Webadressen niemals http..... sondern h**p... oder ähnlich. Bei einem Edit oder Zitat wird daraus nämlich u.U. automatisch ein aktiver Link!
Danke
Shadow

Hilfe habe glaub Trojaner an Board!

Log-Analyse und Auswertung: Hilfe habe glaub Trojaner an Board!