Guten Tag,

habe mir Virusburst eingefangen (selber Schuld bei zuviel Neugierde). Bin seit nunmehr 2 Tagen am Scannen mit diversen Tools laut Anleitung. Bin mir im unklaren inwieweit noch eine Infektion vorliegt. AD-Aware, Spybot, Ewido, Roguescan, Smitfraudfix, Combofix, etc. haben diverse Dateien gefunden und gelöscht, allerdings das ICON in der Taskbar mit dem direkten Link zur Internetseite von Virusburst.COM ist nach wie vor aktiv und nervt ungemein.
Antivir findet den TR/Agent.UZ.1 in A0011968.EXE kann ihn wohl aber nicht unschädlich machen. Brüte seit Stunden über der HijackThis LOG Datei habe auch schon einige unbekannte Einträge gelöscht allerdings dabei auch das ein oder andere Programm abgeschossen. Leider das ICON in der Taskbar ist immer noch vorhanden. Jegliche Hinweise sind herzlich willkommen. Falls ich noch zu einer Lösung komme werde ich diese selbstverständlich posten. Vielen Dank und viele Grüße
Thomas


Logfile of HijackThis v1.99.1
Scan saved at 17:56:36, on 06.09.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\Apps\Softex\OmniPass\Omniserv.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Apps\Softex\OmniPass\OPXPApp.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\ewido anti-spyware 4.0\ewido.exe
C:\Programme\OFFICE One6.5\OFFICE One PDF Manager\OoPDFSettingsv6.exe
C:\APPS\SMP\SmpSys.exe
C:\Programme\workpad\HOTSYNC.EXE
C:\Dokumente und Einstellungen\muster\Eigene Dateien\ComBOTS\muster.name@t-online.de\combots\lib\combots.exe
C:\Dokumente und Einstellungen\muster\Eigene Dateien\ComBOTS\muster.name@t-online.de\combotsClient\ComBOTSClient.exe
C:\Dokumente und Einstellungen\muster\Eigene Dateien\ComBOTS\muster.name@t-online.de\combotsClient\ComBOTSCom.exe
C:\Dokumente und Einstellungen\muster\Eigene Dateien\Work\Download\Antivir\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [NECHotkey] mHotkey.exe
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [T-Online DSL-Manager] "C:\Programme\T-Online\DSL-Manager\TODslMgr.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKLM\..\Run: [MSConfig] "C:\WINDOWS\system32\msconfig.exe" /auto
O4 - HKLM\..\Run: [OoPDFSettingsv6.exe] C:\Programme\OFFICE One6.5\OFFICE One PDF Manager\OoPDFSettingsv6.exe
O4 - HKCU\..\Run: [InfoCockpit] "C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE" /nosplash
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SmpcSys] C:\APPS\SMP\SmpSys.exe
O4 - Startup: ComBOTS.lnk = ComBOTS\muster.name@t-online.de\combots\lib\combots.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Programme\workpad\HOTSYNC.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\ger.htm
O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll
O20 - Winlogon Notify: OPXPGina - C:\Apps\Softex\OmniPass\opxpgina.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O21 - SSODL: imputable - {6570b782-1a41-4053-b2c9-12c7fcf0d84d} - C:\WINDOWS\system32\duxzj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Apps\Softex\OmniPass\Omniserv.exe
O23 - Service: RoxMediaDB - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe
O23 - Service: RoxUpnpRenderer (RoxUPnPRenderer) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCom\RoxUpnpRenderer.exe
O23 - Service: RoxUpnpServer - Sonic Solutions - C:\Programme\Roxio\WinOnCD 8\Digital Home\RoxUpnpServer.exe
O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Hallo!
Hatte grad das selbe Problem mit Virusburst, und ich glaube ich habe eine Lösung:
Smitfraud hatte schon einiges entfernt, aber der Icon war noch da. Dann Bin ich die gesamte Liste unter diesem Link

http://virus-protect.org/artikel/spyware/spywarequake.html

durchgegangen Und ich glaub es war Schritt 6 der endgültig abhilfe schaffte, das Programm
roguescanfix.exe

http://www.martijnc.be/tools/roguescanfix.exe

ausgeführt, nach Anleitung und siehe da: der Icon war weg!!
Hoffe bei dir funzt das auch. Mein System scheint wieder clean zu sein, bin aber auch nur ein Leihe, also keine Gewähr... Viel Glück beim Viruskrieg!

Halllo,

vielen Dank für die Info. Roguescan hatte ich bereits mehrfach asugeführt leider ohne Erfolg. Führe ich ihn jetzt aus dann meldet sich ewido mit 2 Spyware Funden (adware.generic und adware.intcodec) in Verzeichnisen die ich auf dem Rechner nicht finde.

Anbei das Scanergebnis von Roguescan:
BFU v1.00.9
Windows XP SP2 (WinNT 5.01.2600 SP2)
Script started at 21:48:53, on 07.09.2006

Option pause between commands: 100 ms
Failed: FileDelete C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Microsoft\Internet Explorer\QuickLaunch\SpyFalcon*.* (operation failed)
Failed: FileDelete C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Microsoft\Internet Explorer\QuickLaunch\SpywareQuake*.* (operation failed)
Failed: FileDelete C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Microsoft\Internet Explorer\QuickLaunch\Spyware Sherif*.* (operation failed)
Failed: FolderDelete C:\Programme\eMedia Codec (folder not found)
Failed: FolderDelete C:\Programme\Media-Codec (folder not found)
Failed: FolderDelete C:\Programme\spyfalcon (folder not found)
Failed: FolderDelete C:\Dokumente und Einstellungen\Thomas\Startmenü\Programme\SpyFalcon (folder not found)
Failed: FolderDelete C:\Dokumente und Einstellungen\Thomas\Startmenü\Programme\SpywareQuake (folder not found)
Failed: FolderDelete C:\Programme\SpywareQuake (folder not found)
Failed: FolderDelete C:\WINDOWS\system32\1024 (folder not found)
Failed: FolderDelete C:\Programme\Trust Cleaner (folder not found)
Failed: FolderDelete C:\Programme\TrustIn Contextual (folder not found)
Failed: FolderDelete C:\Programme\TrustIn Bar (folder not found)
Failed: FolderDelete C:\Programme\TrustIn Popups (folder not found)
Failed: FolderDelete C:\Programme\TrustIn Search (folder not found)
Failed: FolderDelete C:\Programme\SpywareQuake.com (folder not found)
Failed: FolderDelete C:\Programme\SpywareStrike (folder not found)
Failed: FolderDelete C:\Programme\SpyQuake2.com (folder not found)
Failed: FolderDelete C:\Dokumente und Einstellungen\Thomas\Startmenü\Programme\SpyQuake2.com (folder not found)
Failed: FolderDelete C:\Programme\IntCodec (folder not found)
Failed: FolderDelete C:\Programme\virusburst (folder not found)
Script completed.

Während dem Scan verschwindet das ICON kurz um dann wieder da zu sein. Strange!



Scanergebnis von ewido im Standard Scan Modus findet die üblichen Tracker
ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 21:40:05 07.09.2006

+ Scan-Ergebnis:



C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@2o7[2].txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@doubleclick[1].txt -> TrackingCookie.Doubleclick : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@as1.falkag[2].txt -> TrackingCookie.Falkag : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@ivwbox[1].txt -> TrackingCookie.Ivwbox : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@mediaplex[1].txt -> TrackingCookie.Mediaplex : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Thomas\Cookies\thomas@tribalfusion[1].txt -> TrackingCookie.Tribalfusion : Keine Aktion durchgeführt

Guten Tag,

der "bad guy" heißt duxzj.dll und sitzt in c:\windows\system32.
Nach dem deaktivieren und löschen dieser *.DLL Datei ist das Icon weg. Hoffe, dass nun alle Spuren dieses Trojaners entfernt sind.
Viele Grüße
tburkart