Hallo,

über einen Link über den MSN Messenger habe ich mir wohl einen Virus eingefangen. Plötzlich hatte ich diverse Dateien in allen möglichen System-Ordnern. Norton hat auch direkt Alarm geschlagen, aber natürlicht alle Dateien löschen können. Es werden bei jedem Reboot sofort einige Browser-Fenster geöffnet obwohl ich noch nichts gestartet habe.

Hier im Forum habe ich schon einige Threads zu diesen Dateien gefunden, bekomme aber wohl nicht alle Dateien gelöscht. Die Dateien ibm00001.dll (bzw. ibm0000x.dll) und command.exe sind wohl hier Schlüssel-Dateien, die immer wieder auftreten.

Ich habe bisher versucht über ein HJT-Log Dateien zu identifizieren und zu löschen, bzw. das Löschen über ein Tool namens Killbox versucht. Leider ohne Erfolg.

hier das log:

Logfile of HijackThis v1.99.1
Scan saved at 15:42:13, on 31.10.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\U3RlZmFuIE32bGxlcg\command.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\Winamp\Winampa.exe
D:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programme\pdf24\PDF24Updater.exe
D:\Programme\Kana Reminder\Reminder.exe
C:\Programme\??crosoft\?srss.exe
D:\Programme\Alt-N Technologies\ComAgent\ComAgent.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\userinit.exe
D:\Programme\Fantastic-Bits\WiSi\WiSi.exe
D:\Programme\lotus\organize\easyclip.exe
D:\Programme\WorldCommunityGrid\UD.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\wuauclt1.exe
C:\PROGRA~1\COMMON~1\SSEMBL~1\logonui.exe
C:\Virenfix\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://searchbar.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://red.clientapps.yahoo.com/customize/ie/defaults/sb/ymsgr6/*h**p://w*w.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://w*w.ritlabs.com/cgi-bin/rd.cgi?di=1055922219&pi=CD5BF9353B3B7091&url=w*w.ritlabs.com/the_bat/
R3 - URLSearchHook: (no name) - {A8BD6820-6ED7-423E-9558-2D1486B0FEEA} - C:\Programme\DeluxeCommunications\DxcBho.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O1 - Hosts: 194.77.93.181 w*w-dez.postbank.de
O2 - BHO: (no name) - {07C872CE-9879-EBFF-2C57-BBCE1999ED9F} - C:\WINDOWS\System32\isrc.dll
O2 - BHO: (no name) - {883DE1FD-8124-42D5-A541-A9FFD4BFFD50} - \
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar3.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar3.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [WinampAgent] "D:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [RemoteControl] D:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [PDFPrint] "C:\Programme\pdf24\PDF24Updater.exe"
O4 - HKLM\..\Run: [DeluxeCommunications] C:\Programme\DeluxeCommunications\Dxc.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] C:\PROGRA~1\Yahoo!\MESSEN~1\ypager.exe -quiet
O4 - HKCU\..\Run: [Kana Reminder] "D:\Programme\Kana Reminder\Reminder.exe"
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [DeluxeCommunications] C:\Programme\DeluxeCommunications\Dxc.exe
O4 - HKCU\..\Run: [Etai] "C:\PROGRA~1\COMMON~1\SSEMBL~1\logonui.exe" -vt ndrv
O4 - HKCU\..\Run: [Wba] C:\Programme\??crosoft\?srss.exe
O4 - HKCU\..\Run: [shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe"
O4 - Startup: Kana Reminder.lnk = D:\Programme\Kana Reminder\Reminder.exe
O4 - Startup: Lotus Organizer EasyClip.lnk = D:\Programme\lotus\organize\easyclip.exe
O4 - Startup: prf19.tmp
O4 - Startup: World Community Grid Agent.lnk = D:\Programme\WorldCommunityGrid\UD.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ComAgent.lnk = D:\Programme\Alt-N Technologies\ComAgent\ComAgent.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WiSi.lnk = D:\Programme\Fantastic-Bits\WiSi\WiSi.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: IE HTTPAnalyzer V2 - {85F4A88D-5FA7-40BB-8BD3-AF7E24C0BF4A} - C:\Programme\IEInspector\IEHttpAnalyzerV2\IEHTTPAnalyzerV2.dll
O9 - Extra 'Tools' menuitem: IE HTTPAnalyzer V2 - {85F4A88D-5FA7-40BB-8BD3-AF7E24C0BF4A} - C:\Programme\IEInspector\IEHttpAnalyzerV2\IEHTTPAnalyzerV2.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {3D29D4FC-1A26-4082-81B8-4F0746FCA4D2} (DartSettings Class) - h**p://qos.doubleclick.net/browsersettingscommon/Settings.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - h**p://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O20 - AppInit_DLLs: dxclib303562752.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\U3RlZmFuIE32bGxlcg\command.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe


hat jemand eine Idee, oder ist alles verloren?
vielen Dank schon mal und Gruß,
kriber

Da ist schon einiger Müll vorhanden. Lasse mal online prüfen:
C:\WINDOWS\U3RlZmFuIE32bGxlcg\command.exe
Benutze dazu die Hinweise in meiner Signatur.

Ursache für Dein Problem ist u.a hier zu suchen:
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Wo ist das SP2? Wo sind die erforderlichen Updates und Patches?

hallo,

danke für die schnelle Antwort.

zum SP2: ist nicht installiert, da es sich bei dem Rechner um einen Firmen-Rechner in einer Domäne handelt. Diese sind noch nicht auf SP2 umgestellt, sind allerdings gepatched mit allem was MS Update so anbietet.

Das die command.exe ein Hauptbestandteil ist hab ich mir auch schon gedacht... die Frage ist, was ist da noch so verstecktes drin?

Ich hab nun mehrfach gescanned und gelöscht mit den besagten Tools. Immer wieder und wieder... es haben sich immer wieder neue Dateien erstellt. Irgendwann waren sie jedoch weg. Nun bin ich unsicher, ob eventuell doch noch etwas schlummert

hier ein neues Log:
Logfile of HijackThis v1.99.1
Scan saved at 16:49:58, on 31.10.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\Winamp\Winampa.exe
D:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Programme\pdf24\PDF24Updater.exe
D:\Programme\Kana Reminder\Reminder.exe
D:\Programme\Alt-N Technologies\ComAgent\ComAgent.exe
D:\Programme\Fantastic-Bits\WiSi\WiSi.exe
D:\Programme\lotus\organize\easyclip.exe
D:\Programme\WorldCommunityGrid\UD.EXE
C:\WINDOWS\System32\wuauclt1.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Virenfix\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://w*w.ritlabs.com/cgi-bin/rd.cgi?di=1055922219&pi=CD5BF9353B3B7091&url=w*w.ritlabs.com/the_bat/
O1 - Hosts: 194.77.93.181 www-dez.postbank.de
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\windows\downloaded program files\googletoolbar3.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\windows\downloaded program files\googletoolbar3.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [WinampAgent] "D:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [RemoteControl] D:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [PDFPrint] "C:\Programme\pdf24\PDF24Updater.exe"
O4 - HKCU\..\Run: [Kana Reminder] "D:\Programme\Kana Reminder\Reminder.exe"
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe
O4 - Startup: Kana Reminder.lnk = D:\Programme\Kana Reminder\Reminder.exe
O4 - Startup: Lotus Organizer EasyClip.lnk = D:\Programme\lotus\organize\easyclip.exe
O4 - Startup: World Community Grid Agent.lnk = D:\Programme\WorldCommunityGrid\UD.EXE
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ComAgent.lnk = D:\Programme\Alt-N Technologies\ComAgent\ComAgent.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WiSi.lnk = D:\Programme\Fantastic-Bits\WiSi\WiSi.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: IE HTTPAnalyzer V2 - {85F4A88D-5FA7-40BB-8BD3-AF7E24C0BF4A} - C:\Programme\IEInspector\IEHttpAnalyzerV2\IEHTTPAnalyzerV2.dll
O9 - Extra 'Tools' menuitem: IE HTTPAnalyzer V2 - {85F4A88D-5FA7-40BB-8BD3-AF7E24C0BF4A} - C:\Programme\IEInspector\IEHttpAnalyzerV2\IEHTTPAnalyzerV2.dll
O16 - DPF: {3D29D4FC-1A26-4082-81B8-4F0746FCA4D2} (DartSettings Class) - h**p://qos.doubleclick.net/browsersettingscommon/Settings.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - h**p://toolbar.google.com/data/de/big/1.1.62-big/GoogleNav.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

viele Grüße
kriber

Eigentlich solltest Du die Ergebnisse der Onlinescanns posten.
Normalerweise werden hier Firmen- und Dienst-PC nicht ausgewertet.

alles klaro..ich versuche es selber weiter...
kriber

Zitat:

Zitat von kriber

zum SP2: ist nicht installiert, da es sich bei dem Rechner um einen Firmen-Rechner in einer Domäne handelt. Diese sind noch nicht auf SP2 umgestellt, sind allerdings gepatched mit allem was MS Update so anbietet.

Das ist blanker Unfug, da MS den Service für SP1 per Oktober 2006 eingestellt hat.

Weiterhin solltest Du so etwas in der Art haben:
http://www.sophos.de/security/analyses/w32colevoa.html