Hallo!
Auch ich habe ein Problem mit einem Virus. Vielleicht kann mir ja hier jemand helfen. Habe jetzt schon 2 Stunden lang versucht die Dinge durchzuführen (z.B. SmitFraudFix) aber irgendwie will das bei mir nicht so funktionieren. Bin schon echt am verzweifeln. Hier mein bisheriger Erfolg:
Logfile of HijackThis v1.99.1
Scan saved at 20:43:59, on 02.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\MPVIDEOCODEC\isamonitor.exe
C:\Programme\MPVIDEOCODEC\pmsngr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\MPVIDEOCODEC\pmmon.exe
C:\Programme\MPVIDEOCODEC\isamini.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
D:\Programme\Logitech\SetPoint\kem.exe
D:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\***~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis[1].zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Programme\MPVIDEOCODEC\isaddon.dll
O2 - BHO: CIEIntegrator Object - {2178F3FB-2560-458F-BDEE-631E2FE0DFE4} - C:\Programme\WinAntiVirus Pro 2006\winpgi.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: IEFW Object - {B5141620-C2B2-4D95-9F0F-134D99C87AB0} - C:\Programme\WinAntiVirus Pro 2006\IEFWBHO.dll
O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - D:\Programme\GMX\GMX Toolbar\toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Protection Bar - {479fd0cf-5be9-4c63-8cda-b6d371c67bd5} - C:\Programme\MPVIDEOCODEC\iesplugin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [VirusBurster] C:\Programme\VirusBurster\virusburster.exe /h
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinAntiVirusPro2006] "C:\Programme\WinAntiVirus Pro 2006\WinAV.exe" /min
O4 - HKLM\..\RunOnce: [fat.exe] C:\Programme\WinAntiVirus Pro 2006\fat.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] D:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(3).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = D:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.stardialer.de/StarInstall.ocx
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: horologium - {7be183d2-a42d-4915-bf60-ec86fbf002cf} - C:\WINDOWS\system32\httge.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Firewall service (FWSvc) - WinSoftware, Ltd. - C:\Programme\WinAntiVirus Pro 2006\FWSvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

Bin computertechnisch nicht so bewandert, vielleicht kann mir jemand detailierte Anleitung geben??

Vielen Dank
klärchen

Hallo,
Versuche mit Antivir das Ding zu entfernen.
Gehe dazu in den abgesicherten Modus (Kiste anschalten F8 drücken bis zum "Pieps".Danach scannen.
Beobachte beim nächsten Booten ,ob das widerkommt.WEnn ja :lasse bei www.virustotal diese Dateien scannen und poste das Ergebnis

Zitat:

C:\Programme\MPVIDEOCODEC\isamonitor.exe
C:\Programme\MPVIDEOCODEC\pmsngr.exe

Zitat:

C:\Programme\MPVIDEOCODEC\pmmon.exe
C:\Programme\MPVIDEOCODEC\isamini.exe

Wie lautet der genaue Pfad des Fundes bzw. wer gibt welche Meldung aus ?
Irrlicht

Guten Morgen!

Also bin den Anweisungen gefolgt, sprich ich hab im abgesicherten Modus den Virenscanner laufen lassen. Dabei waren keine Funde, nur 20 Warnungen. Danach habe ich den PC runter gefahren und nochmals erneut hochgefahren. Das gelbe Fenster das ich normal bekommen habe mit: " Your computer is infected with last version of PSW.x.virtrojan. PSW trojans steal your private information such as: passwords, IP-address, credit card information, registration details, documents etc." kommt nicht mehr.
Allerdings wenn ich den Internetexplorer anklicke kommt immer noch die Seite www.theptodatesecurtiy und ein Fenster geht auf: "Warning W32.Myzor.FK@yf is a virus that infects files with .exe extrensions. It attempts to steal passwords and private information from the indefected computer."

So, hab die email an virustotal versandt, allerdings hab ich die erste Datei "isamonitor" nicht gefunden, konnte sie also nicht anhängen. An was liegt das? Habe jetzt erstmal die 3 anderen versandt.
Soweit zu meiner bisherigen Tätigkeit!
Melde mich wieder wenn ich Nachricht habe.

Ciao
klärchen

Guten Morgen,

Zitat:

Zitat von klärchen

So, hab die email an virustotal versandt, allerdings hab ich die erste Datei "isamonitor" nicht gefunden, konnte sie also nicht anhängen.

Wer hat gesagt, das du Emails an Virustotal schicken sollst?
Laut Anweisung von Irrlicht solltest du lediglich auf die Seite von Virustotal gehen, Virustotal , oben auf Durchsuchen klicken, zu den genannten dateien Navigieren und dann auf Send klicken. Dann wärst du wahrscheinlich in der Warteschleife gelandet und hättest irgendwann nen Ergebnis bekommen. Also, hole dies bitte nach!

Zitat:

Zitat von klärchen

allerdings hab ich die erste Datei "isamonitor" nicht gefunden An was liegt das?

Hast du auch alle Dateien sichtbar gemacht?
Eine gute Anleitung findest du, wenn du auf den Link "Dateien Sichtbar machen" in meiner SIG klickst! Versuche es dann nochmal!


Gruß Mellosun

Hallo!
Also erstmal "Entschuldigung" aber woher soll ich denn wissen, dass ich oben auf Durchsuchen muss, hab in meiner Verzweiflung halt mal die englische Erklärung durchgelesen und da steht, man soll ne Mail schicken. Ok nu is es passiert, hoffe es hat keine Konsequenzen für mich.
Bin jetzt nochmal nach Deiner Anweisung vorgegangen, habe aber leider immer noch nicht die fehlende Datei gefunden.
Wie bekomme ich denn jetzt das Ergebnis von Virus Total? Muss ich solange auf der Homepage bleiben??

Ciao
klärchen

Ja, wenn du auf Send geklickt hast, kommt eine neue Seite.....entweder bist in der Warteschleife oder hast Glück und kommst glei darn!
Ansonsten musst warten bis das Ergebnis angezeigt wird!


Gruß Mellosun

Ok, ich bin 171te. Aber wenigstens weiß ich dass ich auf dem richtigen Weg bin. (Zumindest für ein paar Minuten)

Hi,
ich darf mich mal kurz einmischen:
ZLob drauf:
C:\Programme\MPVIDEOCODEC\pmmon.exe
C:\Programme\MPVIDEOCODEC\isamini.exe
C:\Programme\MPVIDEOCODEC\isamonitor.exe
C:\Programme\MPVIDEOCODEC\pmsngr.exe

Dann noch Virusburster:
O4 - HKLM\..\Run: [VirusBurster] C:\Programme\VirusBurster\virusburster.exe /h

und auch noch WinantivirusPro 2006
Meine Güte.
Vielleicht wäre ein Neuaufsetzen für Klärchen mal hilfreich, damit sie nicht alles anclickt und installiert, was nicht bei drei auf den Bäumen ist...
Nix für ungut.
cacatoa

So, also eins habe ich schonmal:

STATUS: FINISHEDComplete scanning result of "isamini.exe", received in VirusTotal at 10.03.2006, 18:01:39 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.22 10.03.2006 TR/Drop.Zlob.AH.2
Authentium 4.93.8 10.02.2006 no virus found
Avast 4.7.892.0 10.03.2006 no virus found
AVG 386 10.03.2006 Downloader.Zlob.EAK
BitDefender 7.2 10.03.2006 Trojan.Downloader.Zlob.APA
CAT-QuickHeal 8.00 10.03.2006 no virus found
ClamAV devel-20060426 10.03.2006 no virus found
DrWeb 4.33 10.03.2006 no virus found
eTrust-InoculateIT 23.73.11 10.02.2006 no virus found
eTrust-Vet 30.3.3113 10.03.2006 no virus found
Ewido 4.0 10.03.2006 no virus found
Fortinet 2.82.0.0 10.03.2006 no virus found
F-Prot 3.16f 10.02.2006 no virus found
F-Prot4 4.2.1.29 10.02.2006 no virus found
Ikarus 0.2.65.0 10.03.2006 no virus found
Kaspersky 4.0.2.24 10.03.2006 Trojan-Downloader.Win32.Zlob.ang
McAfee 4865 10.03.2006 no virus found
Microsoft 1.1603 10.03.2006 no virus found
NOD32v2 1.1787 10.02.2006 no virus found
Norman 5.90.23 10.03.2006 W32/Zlob.gen4
Panda 9.0.0.4 10.03.2006 Adware/PornMagPass
Sophos 4.10.0 10.03.2006 no virus found
Symantec 8.0 10.03.2006 no virus found
TheHacker 6.0.1.090 10.03.2006 Trojan/Puper
UNA 1.83 10.03.2006 no virus found
VBA32 3.11.1 10.03.2006 suspected of MalwareScope.Downloader.Zlob.1 (paranoid heuristics)
VirusBuster 4.3.7:9 10.03.2006 no virus found


Aditional Information
File size: 6144 bytes
MD5: fc89adb6219f1c1e304fc46c8aa9a6ef
SHA1: b015f7fdc472f41c95d80f49263703f82c205e5c

Ich gehe davon aus, dass ich alle Dateien einzeln scannen lassen muss?Sprich alles einzeln auswählen und auf Scan gehen??

@ cacatoa
Wie soll ich das jetzt verstehen?? Bin ziemlich unbewandert in PC-Angelegenheiten. Was soll ich denn jetzt machen???

@ klärchen:
Also, die Scannerei kannst aufhören. Ich habe ja unten schon geschrieben, was Du alles drauf hast.
Du kannst jetzt beginnen, hier im Forum rumzusuchen, wie Du das ganze Zeugs wegbringst. Dauert Tage.
Oder Du setzt Dich hin, liest die Anleitung zum Neuaufsetzen des Systems und handelst danach.
Dauert zwei Stunden. Und Du hast ein sauberes System.
Die Wahl liegt bei Dir. Und natürlich bei Mellosun, der/die Dir ja schon eingangs geholfen hat.
Gruß
cacatoa

Meinst Du auch ein Laie wie ich bekommt das mit der Anleitung hin? Und wie sieht es aus mit den ganzen Dateien, die wir momentan auf der Festplatte haben? Das muss doch sicher irgendwie gespeichert werden oder?

Der Weg ist mir prinzipiell egal, Hauptsache ich bekomm den Trojaner wieder weg. Möcht nur nicht mehr kaputt machen als gut!

Viele Grüße
klärchen

Hi, klärchen,
nach Cidre´s Anleitung haben es schon viele geschafft. Er beschreibt es so gut, daß auch ein Anfänger sauber arbeiten kann. Mein Gedanke war einfach der:
Wer mal sein ganzes System aufgesetzt hat, wird in Zukunft vorsichtiger mit seinem "Rumgeclicke" sein.
Die Sicherung der Daten kann auf CD erfolgen (Keine ausführbaren Dateien sichern!). Es empfiehlt sich auch, die zu sichernden Dateien vorab zu scannen.
So. Wenn Du Dir wirklich zu unsicher bist (Du hast keine I-Net-Verbindung während des Neuaufsetzens), dann versuch halt, Deine Probleme vorab mit der Forensuche zu lösen (auch wir an board helfen Dir gerne; ich selbst bin z. Zt. leider nicht allzuoft online) und lies Dich in die Problematik des Neuaufsetzens so ein, daß Du später keine Schwierigkeit hast.
Gruß
cacatoa

Also geholfen habe ich bis jetzt nicht....habe nur den Weg von irrlicht etwas weiter geebnet!
Ich hatte mir das LOG, wenn ich ehrlich bin, garnet angeschaut.

Aber so wie cacatoa schreibt, ist es am besten, schnellsten und sichersten, Dein System Neuaufzusetzen.
Dateien kannst du alle sichern, solange es keine Ausführbaren Dateien sind!
Wie viel Partitionen hast du?

Lese Dir den link zum Neuaufsetzen genau durch, und eigentlich sind da schon alle Fragen beantwortet!


Gruß Mellosun

ok, ich werd mich jetzt einfach weiter informieren und wenn ich denke dass ich ungefähr weiß was auf mich zu kommt, lege ich los.

Noch ne Frage, weißt Du zufällig wie gefährlich der Trojaner ist den ich mir eingefangen habe???

Ich danke Dir auf alle Fälle schonmal für Deine Hilfe!

Ciao
klärchen

Servus,
Hier mal was zu Deinem ZLob.
Hier zum Virusburster und
hier was zu WinAntiVirusPro2006.
Grüße
cacatoa