Hallo,

seit einigen Tagen habe ich den sog. Proxy.Cimuz.bw Trojaner auf meinem PC.
habe LSP fix drüberlaufen lassen + AVG, Avira Antivir und Spybot search & destroy. AVG hat ihn dann letztendlich endeckt. also fix das teil gelöscht.
das Problem besteht darin, dass es immer wieder auftaucht und sich nicht völlig löschen lässt. bei jedem scan von AVG ist er wieder da. manuell konnte ich nichts im HijackThis logfile finden und die automatische auswertung ergab auch nichts. selbst beim googlen konnte ich keine nützliche info darüber finden wie ich den Schädling nun loswerde.

hier das Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 12:00:17, on 28.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\ATKKBService.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\Programme\Deamon Tools\DAEMON Tools\daemon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
D:\Programme\ICQLite\ICQLite.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ASUS\SmartDoctor\SmartDoctor.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\Common\Bin\WinCinemaMgr.exe
D:\Programme\Xfire\Xfire.exe
D:\Programme\Ventrilo\Ventrilo.exe
D:\Programme\Mozilla\firefox.exe
C:\Dokumente und Einstellungen\janis\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://de.xfire.com/xf/modules.php?name=XFire&file=lostpass
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [razertra] C:\Programme\Razer\razertra.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SB Live! 24-bit\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [DAEMON Tools] "D:\Programme\Deamon Tools\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ICQ Lite] "D:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Programme\ASUS\SmartDoctor\SmartDoctor.exe /start
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Xfire.lnk = D:\Programme\Xfire\Xfire.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = D:\Programme\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Spiele\Partypoker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Spiele\Partypoker\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

Vorschläge?

Im Logfile kann ich nichts entdecken.
Mach mal nen Check mit eScan und mit Blacklight - poste davon die Logfiles.

dann hätte ich 5 Antiviren/Malware/Spyware Programme am laufen. kommen die sich nicht in die quere?

Das eScan, was ich meine ist der Freeware MWAV-Scanner, der nicht mit Wächtern, die im Hintergrund laufen, daherkommt. Entpacken und ausführen reicht aus. Näheres ist in der Anleitung beschrieben.
Während Du eScan ausführst solltest Du alle anderen Wächter deaktivieren.

@Khain.

Zitat:

seit einigen Tagen habe ich den sog. Proxy.Cimuz.bw Trojaner auf meinem PC.

Wo genau?

Zitat:

habe LSP fix drüberlaufen lassen

Wozu? AntiBaby-Pillen und Aspirin helfen hier genauso viel.

Zitat:

AVG hat ihn dann letztendlich endeckt.

Wo genau?

Zitat:

das Problem besteht darin, dass es immer wieder auftaucht

Wo genau?

AVG log:

C:\System Volume Information\_restore{B3D61422-1992-42C2-B4AA-7E1F15B11F52}\RP77\A0054291.dll -> Proxy.Cimuz.bw : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\System Volume Information\_restore{B3D61422-1992-42C2-B4AA-7E1F15B11F52}\RP77\A0054292.exe -> Proxy.Cimuz.bw : Mit Backup gesäubert (unter Quarantäne gestellt).
C:\WINDOWS\.exe -> Proxy.Cimuz.bw : Mit Backup gesäubert (unter Quarantäne gestellt).

zum thema lsp fix:
ich hatte bevor ich den lsp fixer drüberlaufen lassen hab im HijackThis folgenden eintrag:
O10 - Broken Internet access because of LSP provider 'rsvp32_2.dll' missing O16
bei dem versuch es zu fixen bekam ich eine fehlermeldung und den rat lsp fix zu benutzen... hat ja auch geklappt, danach war der eintrag verschwunden.

das relevante im MWAV log:

Sat Oct 28 18:12:57 2006 => ***** Scanning Registry and File system for Adware/Spyware *****
Sat Oct 28 18:12:57 2006 => Loading Spyware Signatures from new External Database (Size: 172656).
Sat Oct 28 18:12:57 2006 => Indexed Spyware Databases Successfully Created...

Sat Oct 28 18:13:10 2006 => System found infected with minibug Adware ({2b96d5cc-c5b5-49a5-a69d-cc0a30f9028c})! Action taken: No Action Taken.
Sat Oct 28 18:13:10 2006 => Offending Key found: HKLM\Software\microsoft\downloadmanager !!!
Sat Oct 28 18:13:10 2006 => Object "istbar Spyware/Adware" found in File System! Action Taken: No Action Taken.

Sat Oct 28 18:13:11 2006 => Offending value found in HKLM\Software\Licenses: {k7c0db872a3f777c0} !!!
Sat Oct 28 18:13:11 2006 => Object "spywarestrike Trojan" found in File System! Action Taken: No Action Taken.

Sat Oct 28 18:13:11 2006 => Offending file found: C:\DOKUME~1\janis\LOKALE~1\Temp\cmdlineext02.dll
Sat Oct 28 18:13:11 2006 => System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: No Action Taken.

Sat Oct 28 18:13:11 2006 => Offending file found: C:\DOKUME~1\janis\LOKALE~1\Temp\war3_install.exe
Sat Oct 28 18:13:11 2006 => System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: No Action Taken.

Sat Oct 28 18:13:16 2006 => Offending file found: C:\Dokumente und Einstellungen\janis\Lokale Einstellungen\temp\cmdlineext02.dll
Sat Oct 28 18:13:16 2006 => System found infected with whenu.savenow Spyware/Adware (cmdlineext02.dll)! Action taken: No Action Taken.

Sat Oct 28 18:13:16 2006 => Offending file found: C:\Dokumente und Einstellungen\janis\Lokale Einstellungen\temp\war3_install.exe
Sat Oct 28 18:13:16 2006 => System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: No Action Taken.

@Khain.

Zitat:

C:\System Volume Information\_restore{B3D61422-1992-42C2-B4AA-7E1F15B11F52}\RP77\A0054291.dll -> Proxy.Cimuz.bw : Mit Backup gesäubert (unter Quarantäne gestellt).

Hmm. AVG knackt einen geschützen Windows-Systemordner... Stelle sicherheitshalber die SWH ab.

Zitat:

... hat ja auch geklappt, danach war der eintrag verschwunden.

OK .
Deinstalliere über Systemsteuerung/Software alles, was du nicht brauchst, z.B. WhenU/Savenow, Istbar oder so, leere alle Temp-Ordner, am besten - im abgesicherten Modus (s. Link ClearProg in meiner Sig, falls noch nicht geschah ).
Entferne über RegEdit die Reg-Schlüssel , die MWAV ausgespuckt hat. Hier ist aber der gorße Vorsicht geboten: zerschossene Registy mach das System unbrauchbar, deswegen erstelle ein Reg-Backup (Bitte Hilfe-Themen zum Regedit nachlesen) bevor du etwas unternimmst.

Frage vorweg: was ist SWH

hab die Temp sachen gemäss Anleitung ClearProg gelöscht. Im Systemsteuerung/Software ist nichts derartiges zu finden.

registry... mmmhhh. bevor ich mich da dran traue werd ich mich wohl noch n bisschen schlaumachen.

kann ich die betroffenen dateien
z.B.:

Zitat:

C:\Dokumente und Einstellungen\janis\Lokale Einstellungen\temp\cmdlineext02.dll

auch einfach manuell löschen? gibts da Risiken?

und btw.:
hab n neuen AVG check durchgejagt vorhin... kein Proxy.Cimuz.bw zu finden, dafür aber

C:\System Volume Information\_restore{B3D61422-1992-42C2-B4AA-7E1F15B11F52}\RP78\A0057526.dll -> Adware.Minibug : Ignoriert.
D:\System Volume Information\_restore{B3D61422-1992-42C2-B4AA-7E1F15B11F52}\RP77\A0055463.EXE -> Dialer.Generic : Ignoriert.

strange... hab langsam das gefühl, das mein ganzes system ein einziger Virus ist. Naja, vielen Dank schonmal für die schnellen antworten.

http://www.trojaner-board.de/showthread.php?t=33187
http://www.trojaner-board.de/showthread.php?t=33187

Zitat:

Zitat von Khain.

Frage vorweg: was ist SWH
C:\System Volume Information\_restore

Genau das: SystemWiederHerstellung. Der Ordner ist ein System-Ordner und läßt sich leeren, ohne die Einstellungen für den Ordner ändern zu müssen. Google-Suche hätte dir diese Frage sparen können: http://www.wer-weiss-was.de/theme120...le1729696.html

Zitat:

Zitat von mpc

http://www.trojaner-board.de/showthread.php?t=33187
http://www.trojaner-board.de/showthread.php?t=33187

Was soll das? Hast du NUB nicht gelesen oder verstanden?

ok, hab die HK´s aus der Registry exportiert, die SWH deaktiviert und wieder aktiviert und einen systemwiederherstellungspunkt erstellt. dürfte als Sicherheit reichen (?) Werd mich dann mal an die bösen Registry Schlüssel ranmachen...
noch irgendwelche letzten Ratschläge?

bis jetzt wurde mir hier sehr weitergeholfen, vielen dank dafür.

@Khain.

Zitat:

noch irgendwelche letzten Ratschläge?

Jepp: Bitte hier nachlesen und beachten .