Pc extrem langsam, Verdacht auf Trojaner

contestedgenius · 27.11.2006, 22:57

Hallo!

Ich habe heute einen Link im Icq zu einer Internetseite bekommen, die nicht gerade sehr sauber war. Seitdem ich die Seite besuchte hat man Pc extrem viel längere Ladezeiten und der Seitenaufbau im Browser dauert dreimal so lange.
Ich denke der Verdacht auf einen Trojaner liegt da sehr nahe.
Ich habe ein HijackThis-Log erstellt und auch schon einmal auf hijackthis.de auswerten lassen. Es gab keinen Eintrag, der den Status "Böse" hatte, jedoch einen mit "Eventuell Böse". Diese Datei habe ich sofort bei virusstotal.jotti.org
auswerten lassen.

Der Pfad der Datei:
C:\WINNT\system32\sysvx.exe

Die Auswertung von Jotti:
File: sysvx.exe
Status:
INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5 034edd26fb3f90f992160218a40e111c
Packers detected:
-
Scanner results
AntiVir
Found Trojan/Crypt.F.Gen
ArcaVir
Found Worm.Locksky.Aq
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found Win32.Locksky.J
ClamAV
Found nothing
Dr.Web
Found Trojan.DownLoader.15227
F-Prot Antivirus
Found W32/Downloader.APMG
F-Secure Anti-Virus
Found Email-Worm.Win32.Locksky.aq
Fortinet
Found W32/Locksky.AQ@mm
Kaspersky Anti-Virus
Found Email-Worm.Win32.Locksky.aq
NOD32
Found probably unknown NewHeur_PE (probable variant)
Norman Virus Control
Found W32/DLoader.BGNN
VirusBuster
Found Worm.Locksky.DJ
VBA32
Found Email-Worm.Win32.Locksky.aq

Des weiteren habe ich noch diverse Programme drüberlaufen lassen.
Diese waren: Antivir, a-squared free, Spybot - S&D, Ad-Aware und Ewido
Alle bösen Dateien habe ich gelöscht, beziehungsweise unter Quarantäne gesetzt.
Leider zeigt sich bis jetzt noch keine Besserung.

Deswegen bitte ich euch, doch mal bitte über den HiJackThis-Log drüberzuschauen.

Logfile of HijackThis v1.99.1
Scan saved at 23:00:44, on 27.11.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\cisvc.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\vsnpstd.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINNT\system32\sysvx.exe
C:\WINNT\system32\stisvc.exe
C:\spiele\steam\steam.exe
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\MS_update_0610_KB72306.exe
C:\Programme\stickies\stickies.exe
C:\WINNT\system32\services.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\System32\cidaemon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\a-squared Free\a2free.exe
C:\DOKUME~1\atight1\LOKALE~1\Temp\Rar$EX00.938\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Image Helper - {32031715-0682-3851-A63F-56C30BE4BF3B} - C:\WINNT\system\bspctl32.dll
O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINNT\system32\ipv6mons.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {8E177461-26EC-453B-9E7E-46802E62BF1B} - C:\WINNT\system32\hekwr.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [snpstd] C:\WINNT\vsnpstd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [sysvx.exe] C:\WINNT\system32\sysvx.exe
O4 - HKCU\..\Run: [Steam] "c:\spiele\steam\steam.exe" -silent
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [WinMedia] C:\WINNT\system32\mtdaaaaa2967890.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Stickies.lnk = C:\Programme\stickies\stickies.exe
O4 - Global Startup: MS_update_0610_KB72306.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - h**p://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{43E5873F-0634-43FE-B227-12255C32036D}: NameServer = 62.72.64.241,62.72.64.237
O21 - SSODL: IEFilter - {E8D5EF0F-A68E-4EFB-B543-18A3515045CA} - C:\WINNT\system32\IEFilter.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

Die Links habe ich editiert.
Ich danke euch vielmals im Vorraus und hoffe ihr könnt mir helfen.

Ganz liebe Grüße
jan

cosinus · 27.11.2006, 23:36

Igitt, da sind aber noch einige andere Dateien, die du mal auswerten lassen möchtest. Poste auch die Dateigrößen und Prüfsummen.

C:\WINNT\system\bspctl32.dll
C:\WINNT\system32\hekwr.dll
C:\WINNT\system32\mtdaaaaa2967890.exe

contestedgenius · 28.11.2006, 08:52

Ich glaub das Igitt trifft es am besten

Ich habe keinen Hinweis bei Jotti gefunden, wo denn bitte die Dateigröße steht. Habe mich trotzdem dann versucht selbst auf die Socken zu machen und habe das selbst rausgefunden, in dem ich mir die Eigenschaften der Dateien ansah:

10,0 KB (10.240 Bytes)
File: bspctl32.dll
Status:
INFECTED/MALWARE
MD5 a87f67549d1ce983347e575d9d33364b
Packers detected:
PE_PATCH.UPX, UPX
Scanner results
AntiVir
Found nothing
ArcaVir
Found nothing
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found nothing
ClamAV
Found nothing
Dr.Web
Found BackDoor.IRC.Sdbot.917
F-Prot Antivirus
Found nothing
F-Secure Anti-Virus
Found nothing
Fortinet
Found nothing
Kaspersky Anti-Virus
Found nothing
NOD32
Found nothing
Norman Virus Control
Found nothing
VirusBuster
Found nothing
VBA32
Found nothing

59,5 KB (60.936 Bytes)
File: hekwr.dll
Status:
INFECTED/MALWARE
MD5 04127f484de8719e2e315aed1a6a61d8
Packers detected:
-
Scanner results
AntiVir
Found nothing
ArcaVir
Found nothing
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found nothing
ClamAV
Found nothing
Dr.Web
Found Trojan.Notifier
F-Prot Antivirus
Found nothing
F-Secure Anti-Virus
Found nothing
Fortinet
Found nothing
Kaspersky Anti-Virus
Found nothing
NOD32
Found nothing
Norman Virus Control
Found nothing
VirusBuster
Found nothing
VBA32
Found nothing

Bei der Datei ist mir das ganze ein Rätzel. Er kann es nicht hochladen.. =(

3,50 KB (3.584 Bytes)
C:\WINNT\system32\mtdaaaaa2967890.exe

The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file.

Eine Sache noch.. Ich weiss nicht wo ich die Prüfsummen finde ?!

Danke für die Antwort übrigens.

Gruß
jan

contestedgenius · 28.11.2006, 16:15

Sooo..
Ich habe die Scans auch mal bei virustotal.com gemacht.
Ich hoffe hier ist alles dabei was du brauchst:

Complete scanning result of "bspctl32.dll", received in VirusTotal at 11.28.2006, 16:05:12 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.46 11.28.2006 no virus found
Authentium 4.93.8 11.27.2006 no virus found
Avast 4.7.892.0 11.28.2006 no virus found
AVG 386 11.27.2006 no virus found
BitDefender 7.2 11.28.2006 no virus found
CAT-QuickHeal 8.00 11.27.2006 no virus found
ClamAV devel-20060426 11.28.2006 no virus found
DrWeb 4.33 11.28.2006 BackDoor.IRC.Sdbot.917
eSafe 7.0.14.0 11.28.2006 no virus found
eTrust-InoculateIT 23.73.69 11.28.2006 no virus found
eTrust-Vet 30.3.3219 11.28.2006 no virus found
Ewido 4.0 11.28.2006 no virus found
Fortinet 2.82.0.0 11.28.2006 no virus found
F-Prot 3.16f 11.27.2006 no virus found
F-Prot4 4.2.1.29 11.27.2006 no virus found
Ikarus 0.2.65.0 11.28.2006 no virus found
Kaspersky 4.0.2.24 11.28.2006 no virus found
McAfee 4905 11.27.2006 no virus found
Microsoft 1.1804 11.28.2006 no virus found
NOD32v2 1887 11.28.2006 no virus found
Norman 5.80.02 11.28.2006 no virus found
Panda 9.0.0.4 11.28.2006 Trj/Agent.DFR
Prevx1 V2 11.28.2006 no virus found
Sophos 4.11.0 11.16.2006 no virus found
TheHacker 6.0.3.124 11.27.2006 no virus found
UNA 1.83 11.27.2006 no virus found
VBA32 3.11.1 11.28.2006 no virus found
VirusBuster 4.3.15:9 11.27.2006 no virus found

Aditional Information
File size: 10240 bytes
MD5: a87f67549d1ce983347e575d9d33364b
SHA1: 865bb9369f6e1b5f89af04a8979a72eec841578d
packers: UPX
packers: UPX

-------------------------------------------------------------

Complete scanning result of "hekwr.dll", received in VirusTotal at 11.28.2006, 16:08:43 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.46 11.28.2006 no virus found
Authentium 4.93.8 11.27.2006 no virus found
Avast 4.7.892.0 11.28.2006 no virus found
AVG 386 11.27.2006 no virus found
BitDefender 7.2 11.28.2006 no virus found
CAT-QuickHeal 8.00 11.27.2006 no virus found
ClamAV devel-20060426 11.28.2006 no virus found
DrWeb 4.33 11.28.2006 Trojan.Notifier
eSafe 7.0.14.0 11.28.2006 Suspicious Trojan/Worm
eTrust-InoculateIT 23.73.69 11.28.2006 no virus found
eTrust-Vet 30.3.3219 11.28.2006 no virus found
Ewido 4.0 11.28.2006 no virus found
Fortinet 2.82.0.0 11.28.2006 no virus found
F-Prot 3.16f 11.27.2006 no virus found
F-Prot4 4.2.1.29 11.27.2006 no virus found
Ikarus 0.2.65.0 11.28.2006 no virus found
Kaspersky 4.0.2.24 11.28.2006 no virus found
McAfee 4905 11.27.2006 no virus found
Microsoft 1.1804 11.28.2006 no virus found
NOD32v2 1887 11.28.2006 no virus found
Norman 5.80.02 11.28.2006 no virus found
Panda 9.0.0.4 11.28.2006 Trj/Agent.DFR
Prevx1 V2 11.28.2006 Polynomial.Code.Exploit
Sophos 4.11.0 11.16.2006 no virus found
TheHacker 6.0.3.124 11.27.2006 no virus found
UNA 1.83 11.27.2006 no virus found
VBA32 3.11.1 11.28.2006 no virus found
VirusBuster 4.3.15:9 11.27.2006 no virus found

Aditional Information
File size: 60936 bytes
MD5: 04127f484de8719e2e315aed1a6a61d8
SHA1: 81582f54d2d61f65ab7853d6e72495fee58f2d4e
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=069357527648

---------------------------------------------------------

Complete scanning result of "mtdaaaaa2967890.exe", received in VirusTotal at 11.28.2006, 16:09:29 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.46 11.28.2006 no virus found
Authentium 4.93.8 11.27.2006 no virus found
Avast 4.7.892.0 11.28.2006 no virus found
AVG 386 11.27.2006 no virus found
BitDefender 7.2 11.28.2006 no virus found
CAT-QuickHeal 8.00 11.27.2006 no virus found
ClamAV devel-20060426 11.28.2006 no virus found
DrWeb 4.33 11.28.2006 no virus found
eSafe 7.0.14.0 11.28.2006 no virus found
eTrust-InoculateIT 23.73.69 11.28.2006 no virus found
eTrust-Vet 30.3.3219 11.28.2006 no virus found
Ewido 4.0 11.28.2006 no virus found
Fortinet 2.82.0.0 11.28.2006 no virus found
F-Prot 3.16f 11.27.2006 no virus found
F-Prot4 4.2.1.29 11.27.2006 no virus found
Ikarus 0.2.65.0 11.28.2006 no virus found
Kaspersky 4.0.2.24 11.28.2006 no virus found
McAfee 4905 11.27.2006 no virus found
Microsoft 1.1804 11.28.2006 no virus found
NOD32v2 1887 11.28.2006 no virus found
Norman 5.80.02 11.28.2006 no virus found
Panda 9.0.0.4 11.28.2006 no virus found
Prevx1 V2 11.28.2006 no virus found
Sophos 4.11.0 11.16.2006 no virus found
TheHacker 6.0.3.124 11.27.2006 no virus found
UNA 1.83 11.27.2006 no virus found
VBA32 3.11.1 11.28.2006 no virus found
VirusBuster 4.3.15:9 11.27.2006 no virus found

Aditional Information
File size: 0 bytes <---- (komisch?!?!)
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709

----------------------------------------------------------------

Geschafft

!!

Gruß
jan

cosinus · 28.11.2006, 21:24

Ich befürchte schlimmes...hier könnte es sich um recht neue Malware handeln oder um stark modifizierte Versionen, die von meisten Virenscanner noch nicht erkannt werden können! Bei unbekannter Malware sollte man den worst case annehmen.
Fehlalarme schließe ich aus, da die Dateinamen sehr ungewöhnlich klingen, Systemdateien sinds auf keinen Fall, Googlesuchen nach diesen Dateinamen bringen - abgesehen von Forenbeiträgen anderer verzweifelter User - ganze Null Treffer.

Hier eine Übersicht über den Locksky alias Loosky-Wurm. Da sollte man nach einem Befall das System neu aufsetzen und danach alle Passwörter ändern.

contestedgenius · 28.11.2006, 21:45

Hey!

Das hört sich gar nicht gut an..
Es gibt wirklich keine andere Möglichkeit als das plätten des Pc´s?
Ich hab auch nochmal nachgeschaut, was ich mit google den nfinden kann, aber das einzige was ich fand war das hier:

http://forums.techguy.org/security/521654-potential-worm-activity-detected.html

In diesem Forum wird vorgeschlagen den Beitrag einfach zu fixen.. Bringt das denn was?

Ich kann den Pc nicht selbst aufsetzen, weil mir die Erfahrung dazu fehlt und mein Bruder scheint in nächster Zeit keine Zeit zu haben. Besteht die Möglichkeit den Pc solange warten zu lassen? Wenn ja, muss ich was besonderes beachten?

Dann hab ich noch eine Frage:
In der Übersicht über den Locksky alias Loosky-Wurm steht, dass der Wurm sich über E-Mail-Attachments verbreitet, aber ich habe doch gar keine E-Mail geöffnet?!

Gruß
jan

cosinus · 28.11.2006, 22:21

Zitat:

Es gibt wirklich keine andere Möglichkeit als das plätten des Pc´s?

Doch, das Bereinigen, das ist aber m.E. mit einem nicht weniger großen Aufwand verbunden und alles andere als sicher!

Zitat:

In diesem Forum wird vorgeschlagen den Beitrag einfach zu fixen.. Bringt das denn was?

Mit dem Fixen der Einträge in HijackThis allein ist es definitiv nicht getan, die bekannten Schdalingsdateien müssen auch irgendwie gelöscht werden. Am einfachsten geht das mit Killbox und der Option Delete on reboot. Selbst wenn alle bekannten Schädlingsdateien gelöscht worden sind, weiß man nicht wirklich, was noch alles da ist, es können versteckte Prozesse laufen, die man nicht aufspüren kann oder Systemdateien können manipuliert worden sein, die von diversen Virenscannern nicht angemackert werden.

Zitat:

In der Übersicht über den Locksky alias Loosky-Wurm steht, dass der Wurm sich über E-Mail-Attachments verbreitet, aber ich habe doch gar keine E-Mail geöffnet?!

Das ist nur der typische Verbreitungsweg, d.h. aber nicht, dass Du den per E-Mail auch bekommen hast. Vllt. auch ne manipulierte Variante, die sich auch anders verbreiten kann...

Dann würde ich erstmal folgendes vorschlagen: Besorg dir Killbox und lösche nacheinander die o.g. Dateien mit der Option Delete on reboot. Klick dafür auf das runde rote Schild mit dem weißen X. WICHTIG: Die anschließende Abfrage nicht bejahen, sonst erfolgt ein Neustart, den Du aber erst machen sollst, wenn alle drei Dateien zum Löschen beim Neustart "markiert" werden. Mach das also erst wenn du die letzte Datei durchhast.
Wenn das System wieder oben ist, scannst Du das System mit Blacklight und postes davon das Logfile.
Und achja, die Datei mit der Größe von Null Bytes sollte sich nun auch checken lassen, denn Killbox legt eine Sicherheitskopie an. Werte dann auch mal

C:\!KILLBOX\\mtdaaaaa2967890.exe

bei Jotti aus und poste das Ergebnis.

So far...

contestedgenius · 28.11.2006, 23:10

Huhu!

Ich habe wie befohlen mit Killbox die Dateien gelöscht.
Bei dem Neustart kam folgende Meldung:

Die Datei "C:\PROGRA~1\INSTALL~1\setub.exe" (oder eine ihrer Komponenten) wurde nicht gefunden. Stellen sie sicher, dass die Pfad- und Dateinamenangaben stimmen und alle erforderlichen Bibliotheken verfügbar sind.

Ich glaube, dass ich aber eigentlich alles richtig gemacht habe.

Der Blacklight-Scan ergab folgendes:

11/28/06 23:02:17 [Info]: BlackLight Engine 1.0.47 initialized
11/28/06 23:02:17 [Info]: OS: 5.0 build 2195 (Service Pack 4)
11/28/06 23:02:17 [Note]: 7019 4
11/28/06 23:02:17 [Note]: 7005 0
11/28/06 23:02:20 [Note]: 7006 0
11/28/06 23:02:20 [Note]: 7011 1196
11/28/06 23:02:20 [Note]: 7026 0
11/28/06 23:02:21 [Note]: 7026 0
11/28/06 23:02:21 [Note]: 7024 3
11/28/06 23:02:21 [Info]: Hidden process: C:\WINNT\system32\sysvx.exe
11/28/06 23:02:21 [Note]: FSRAW library version 1.7.1020
11/28/06 23:09:06 [Info]: Hidden file: C:\WINNT\system32\sysvx.exe
11/28/06 23:09:06 [Note]: 10002 1
11/28/06 23:10:31 [Note]: 7007 0

Mir ist die Datei sysvx.exe übrigens schon vorher einmal im Taskmanager aufgefallen, weil ich sie nicht kannte und auch bis heute nicht kenne.

Die Auswertung der C:\WINNT\system32\mtdaaaaa2967890.exe war dieses Mal erfolgreich! Hier die Auswertung:

File: mtdaaaaa2967890.exe
Status:
INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5 d02a003b3647eba3e366f16ac2704262
Packers detected:
-
Scanner results
AntiVir
Found nothing
ArcaVir
Found Trojan.Downloader.Tiny.Ew
Avast
Found nothing
AVG Antivirus
Found nothing
BitDefender
Found Trojan.Agent.Small.B
ClamAV
Found nothing
Dr.Web
Found Trojan.DownLoader.15214
F-Prot Antivirus
Found nothing
F-Secure Anti-Virus
Found Trojan-Downloader.Win32.Tiny.ew
Fortinet
Found nothing
Kaspersky Anti-Virus
Found Trojan-Downloader.Win32.Tiny.ew
NOD32
Found probably a variant of Win32/TrojanDownloader.Tiny.NBO (probable variant)
Norman Virus Control
Found nothing
VirusBuster
Found nothing
VBA32
Found Trojan.DownLoader.15214

Ich dachte, dass ein aktuelles HiJackThis-Log nach dem löschen der Dateien nicht schaden könne und habe dir vorsichtshalber (falls du es denn brauchst) noch eins erstellt:

Logfile of HijackThis v1.99.1
Scan saved at 23:16:48, on 28.11.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\cisvc.exe
C:\WINNT\System32\svchost.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\WINNT\system32\hidserv.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\Service.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\vsnpstd.exe
C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINNT\system32\stisvc.exe
C:\spiele\steam\steam.exe
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\MS_update_0610_KB72306.exe
C:\Programme\stickies\stickies.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINNT\System32\cidaemon.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\atight1\LOKALE~1\Temp\Rar$EX00.906\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Image Helper - {32031715-0682-3851-A63F-56C30BE4BF3B} - C:\WINNT\system\bspctl32.dll (file missing)
O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINNT\system32\ipv6mons.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {8E177461-26EC-453B-9E7E-46802E62BF1B} - C:\WINNT\system32\hekwr.dll (file missing)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [snpstd] C:\WINNT\vsnpstd.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINNT\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [Steam] "c:\spiele\steam\steam.exe" -silent
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [WinMedia] C:\WINNT\system32\mtdaaaaa2967890.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Stickies.lnk = C:\Programme\stickies\stickies.exe
O4 - Global Startup: MS_update_0610_KB72306.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Programme\PartyGaming.Net\PartyPokerNet\RunPF.exe (file missing)
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - h**p://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - h**p://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{43E5873F-0634-43FE-B227-12255C32036D}: NameServer = 62.72.64.241,62.72.64.237
O21 - SSODL: IEFilter - {E8D5EF0F-A68E-4EFB-B543-18A3515045CA} - C:\WINNT\system32\IEFilter.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

Wie ich sehe, sind die Einträge für die gelöschten Dateien immernoch da. Soll ich diese nun fixen?

Ich danke dir für deine Bemühungen und deine Geduld bis zu diesem Punkt cosinus

!

Ganz lieber Gruß
jan

cosinus · 28.11.2006, 23:32

Zitat:

Hidden file: C:\WINNT\system32\sysvx.exe

Ach, hab ich vergessen zu sagen, die hättest Du auch mit Killbox löschen müssen.

Außerdem ist die sysvx.exe nun als versteckter Prozess aktiv!

Zitat:

C:\WINNT\system32\Service.exe

Und der hat sich auch noch eingeschlichen.
Selbst wenn wir jetzt alle offensichtlichen Schädlinge mit Killbox löschen, ist noch keine Sicherheit gegeben, dass Dein System dann sauber ist. Du solltest bei Zeiten neu aufsetzen!

contestedgenius · 29.11.2006, 17:09

Mhh..

Da kann man wohl nichts machen..
In nächster Zeit bitte ich meinen Bruder mal darum den Pc neu aufzusetzen. Ist bis dahin die Notwendigkeit da, den Pc vom Internet abzuklemmen, weil zum Beispiel ein 3. meinen Pc als Müllplatz oder sowas benutzen kann?

Da weiss ich ja wenigstens auch jetzt mal, wie sehr man selbst beim ICQ aufpassen muss

!

Ich danke dir für deine Bemühungen cosinus!

Gruß
jan

27.11.2006, 23:36	#2
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Pc extrem langsam, Verdacht auf Trojaner Igitt, da sind aber noch einige andere Dateien, die du mal auswerten lassen möchtest. Poste auch die Dateigrößen und Prüfsummen. C:\WINNT\system\bspctl32.dll C:\WINNT\system32\hekwr.dll C:\WINNT\system32\mtdaaaaa2967890.exe __________________ __________________

Pc extrem langsam, Verdacht auf Trojaner

Log-Analyse und Auswertung: Pc extrem langsam, Verdacht auf Trojaner