Hallöle,
Also mann hat mich gebeten einen neuen Threat zu öffnen, also folgendes:


Ich habe vor kurzem bemerkt das ohne erfindlichem Grund plötzlich die Startdatei meines Zonelabs verschwunden war, habe es deinstalliert und versucht neu zu installieren, leider ist dies nun nicht mehr möglich, da besagte Vsmon.exe nicht vorhanden ist, auch nach fremdkopie (von unabhängigem Rechner) wird diese sofort nach fertigstellung der Kopie wieder entfernt als ob es sie niemals gegeben hätte, eine Wiederherstellung mit Tuneup undelete ist auch nicht möglich. Habe mich ein wenig in den Beiträgen umgesehen u nd bin auf ein Backdoorprogramm gestoßen was da lautet: BKDR_OPTIX.133 mit der Startdatei die wohl lauten soll: msiexec16.exe
Den Eintrag BKDR_OPTIX.133 habe ich in der Registry entdeckt und geext, Aber diese Startdatei ist nicht auffindbar gewesen. Ansonsten die selben Symptome wie beim Bitrag von Shiwu, keine Installation von AV's möglich, Abgesicherter Modus verweigert etc. So auf den Wunsch von Mighty Marc

Poste ich jetzt noch den HJT-Log:

Logfile of HijackThis v1.99.1
Scan saved at 14:56:53, on 12.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\AOL\1163158310\ee\AOLSoftware.exe
C:\Programme\Multimedia Combo Set\MouseDrv.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\MultiKeyboard Driver\KbdDrv.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\uTorrent\utorrent.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\DOKUME~1\Privat\LOKALE~1\Temp\Rar$EX00.782\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: (no name) - {121784AB-4231-36C8-4E86-13D4BAC1A9BB} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: MSN Suche Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1163158310\ee\AOLSoftware.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - Startup: MutiKeyboard Driver.lnk = C:\Programme\MultiKeyboard Driver\KbdDrv.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O8 - Extra context menu item: &AOL Toolbar-Suche - res://C:\Programme\AOL Toolbar\toolbar.dll/SEARCH.HTML
O8 - Extra context menu item: &MSN Suche - res://C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll/search.htm
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\MSN Toolbar Suite\TAB\02.05.0001.1119\de-de\msntabres.dll/229?a00d32f5e3724425b4dda77410396f26
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\MSN Toolbar Suite\TAB\02.05.0001.1119\de-de\msntabres.dll/230?a00d32f5e3724425b4dda77410396f26
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\Programme\AIM95\aim.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: Yahoo! Chinese Checkers - http://download2.games.yahoo.com/games/clients/y/cct0_x.cab
O16 - DPF: Yahoo! Mensch - http://download2.games.yahoo.com/games/clients/y/mat3_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download2.games.yahoo.com/games/clients/y/poti_x.cab
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://www.giga.de/giga-stream-test/Rawflow.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} (ICSScanner Class) - http://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner371050.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{85989AC2-6016-4D7C-986E-C87FB1D075DF}: NameServer = 205.188.146.145
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter: text/html - (no CLSID) - (no file)
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - T-Online International AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

Wobei ich bereits mit ziemlicher Sicherheit sagen könnte das wohl die Boonty.exe wohl der Auslöser ist, die ich aber verständlicherweise nicht näher untersuchen kann.


Desweiteren würden mich die Funktionen von folgenden bereits laufenden Dateien interessieren: lsass.exe, smss.exe, MDM.exe, locator.exe, MZCControl.exe

So dann mal ran mit den Vorschlägen bitte.

Zitat:

Zitat von JanSFireb all

Den Eintrag BKDR_OPTIX.133 habe ich in der Registry entdeckt und geext,...

Wo hast Du ihn gefunden? Ich habe ehrlich gesagt Probleme damit mir vorzustellen, dass die Zeichenkette BKDR_OPTIX.133 in der Registry auftauchen kann.

Lasse folgende Dateien bitte bei virustotal.com prüfen. Poste die Reports inklusive Größenangabe (unterhalb des Reports zu finden):

Zitat:

C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
C:\Programme\Multimedia Combo Set\MouseDrv.exe
C:\Programme\MultiKeyboard Driver\KbdDrv.exe

Zitat:

Desweiteren würden mich die Funktionen von folgenden bereits laufenden Dateien interessieren:

Google ist schon ein vertraktes Ding

Zitat:

lsass.exe

lsass.exe - lsass - Process Information

Zitat:

smss.exe

smss.exe - smss - Process Information

Zitat:

MDM.exe

mdm.exe - mdm - Process Information

Zitat:

locator.exe

locator.exe - locator - Process Information

Zitat:

MZCControl.exe

T-Online WLAN Adapter Steuerungsdienst (MZCCntrl)

Hast du es schonmal mit dem Microsofttool MRT.EXE versucht ?.
Letzte Version ist erst ein paar tage alt und kann angeblich auch OPTIX-Dinger entfernen

Also: den Eintrag in der Registry zu BKDR_OPTIX.133 fand ich in:

Arbeitsplatz\HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5604

und ist bereits von mir gelöscht worden ...

... nach nochmaligem nachschauen wegen der BKDR fand ich zufällig nun auch einen Eintrag für die msiexec16.exe

Arbeitsplatz\HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603

Suche nach genannter Datei ergab aber keinen Treffer. (werde diesen Eintrag jetz auch exen und das beste hoffen )



So Boonty.exe ergab folgendes:

Complete scanning result of "Boonty.exe", received in VirusTotal at 01.12.2007, 17:08:37 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.21 01.09.2007 no virus found
Authentium 4.93.8 01.12.2007 no virus found
Avast 4.7.892.0 12.30.2006 no virus found
AVG 386 01.12.2007 no virus found
BitDefender 7.2 01.12.2007 no virus found
CAT-QuickHeal 9.00 01.12.2007 no virus found
ClamAV devel-20060426 01.12.2007 no virus found
DrWeb 4.33 01.12.2007 no virus found
eSafe 7.0.14.0 01.10.2007 no virus found
eTrust-InoculateIT 23.73.112 01.12.2007 no virus found
eTrust-Vet 30.3.3324 01.12.2007 no virus found
Ewido 4.0 01.12.2007 no virus found
Fortinet 2.82.0.0 01.12.2007 no virus found
F-Prot 3.16f 01.12.2007 no virus found
F-Prot4 4.2.1.29 01.12.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 no virus found
Kaspersky 4.0.2.24 01.12.2007 no virus found
McAfee 4937 01.11.2007 no virus found
Microsoft 1.1904 01.12.2007 no virus found
NOD32v2 1974 01.12.2007 no virus found
Norman 5.80.02 01.12.2007 no virus found
Panda 9.0.0.4 01.12.2007 no virus found
Prevx1 V2 01.12.2007 no virus found
Sophos 4.13.0 01.11.2007 no virus found
Sunbelt 2.2.907.0 01.12.2007 no virus found
TheHacker 6.0.3.147 01.11.2007 no virus found
UNA 1.83 01.11.2007 no virus found
VBA32 3.11.2 01.12.2007 no virus found
VirusBuster 4.3.19:9 01.12.2007 no virus found


Aditional Information
File size: 69120 bytes
MD5: 22cce44a1d9c749ab1d5b7a82b6b2a20
SHA1: 86899141def41074606893c8709e4d823428a572




Die anderen zwei sind mein Keyboard und mein Mousetreiber habe aber trotzdem gescannt:


Complete scanning result of "MouseDrv.exe", received in VirusTotal at 01.12.2007, 17:21:08 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.21 01.09.2007 no virus found
Authentium 4.93.8 01.12.2007 no virus found
Avast 4.7.892.0 12.30.2006 no virus found
AVG 386 01.12.2007 no virus found
BitDefender 7.2 01.12.2007 no virus found
CAT-QuickHeal 9.00 01.12.2007 no virus found
ClamAV devel-20060426 01.12.2007 no virus found
DrWeb 4.33 01.12.2007 no virus found
eSafe 7.0.14.0 01.10.2007 no virus found
eTrust-InoculateIT 23.73.112 01.12.2007 no virus found
eTrust-Vet 30.3.3324 01.12.2007 no virus found
Ewido 4.0 01.12.2007 no virus found
Fortinet 2.82.0.0 01.12.2007 no virus found
F-Prot 3.16f 01.12.2007 no virus found
F-Prot4 4.2.1.29 01.12.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 no virus found
Kaspersky 4.0.2.24 01.12.2007 no virus found
McAfee 4937 01.11.2007 no virus found
Microsoft 1.1904 01.12.2007 no virus found
NOD32v2 1974 01.12.2007 no virus found
Norman 5.80.02 01.12.2007 no virus found
Panda 9.0.0.4 01.12.2007 no virus found
Prevx1 V2 01.12.2007 no virus found
Sophos 4.13.0 01.11.2007 no virus found
Sunbelt 2.2.907.0 01.12.2007 no virus found
TheHacker 6.0.3.147 01.11.2007 no virus found
UNA 1.83 01.11.2007 no virus found
VBA32 3.11.2 01.12.2007 no virus found
VirusBuster 4.3.19:9 01.12.2007 no virus found

Aditional Information
File size: 503808 bytes
MD5: 89dd130712f2b1b8507d83f3c405c3df
SHA1: cb6671c8112c90dcb7fc2a2db024a51c4deabd9d




Complete scanning result of "KbdDrv.exe", received in VirusTotal at 01.12.2007, 17:31:04 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.21 01.09.2007 no virus found
Authentium 4.93.8 01.12.2007 no virus found
Avast 4.7.892.0 12.30.2006 no virus found
AVG 386 01.12.2007 no virus found
BitDefender 7.2 01.12.2007 no virus found
CAT-QuickHeal 9.00 01.12.2007 (Suspicious) - DNAScan
ClamAV devel-20060426 01.12.2007 no virus found
DrWeb 4.33 01.12.2007 no virus found
eSafe 7.0.14.0 01.10.2007 no virus found
eTrust-InoculateIT 23.73.112 01.12.2007 no virus found
eTrust-Vet 30.3.3324 01.12.2007 no virus found
Ewido 4.0 01.12.2007 no virus found
Fortinet 2.82.0.0 01.12.2007 suspicious
F-Prot 3.16f 01.12.2007 no virus found
F-Prot4 4.2.1.29 01.12.2007 no virus found
Ikarus T3.1.0.27 01.09.2007 no virus found
Kaspersky 4.0.2.24 01.12.2007 no virus found
McAfee 4937 01.11.2007 no virus found
Microsoft 1.1904 01.12.2007 no virus found
NOD32v2 1974 01.12.2007 no virus found
Norman 5.80.02 01.12.2007 no virus found
Panda 9.0.0.4 01.12.2007 no virus found
Prevx1 V2 01.12.2007 no virus found
Sophos 4.13.0 01.11.2007 no virus found
Sunbelt 2.2.907.0 01.12.2007 VIPRE.Suspicious
TheHacker 6.0.3.147 01.11.2007 no virus found
UNA 1.83 01.11.2007 no virus found
VBA32 3.11.2 01.12.2007 no virus found
VirusBuster 4.3.19:9 01.12.2007 no virus found

Aditional Information
File size: 367104 bytes
MD5: 10b1eefa44dc2eb3b1aa53e0f47b1f2d
SHA1: 5304cba7748a369cef4114a29e44aec28621c01b
packers: ASPROTECT
packers: Aspack
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.





Merkwürdigerweise ist mir aufgefallen das so nach und nach einige Programme verschwinden wie z.B. Adobe Acrobat, Apropos folgender Fehler wird mir übrigens in Regelmäßigen Abständen (nervenderweise) angezeigt ohne spezielle Aktivierung von
Aplikationen:

iexplore.exe - Fehler in Anwendung

Die Anweisung in "0x74906b37" verweist auf Speicher in "0x00000024". Der Vorgang
"read" konnte nicht auf dem Speicher durchgeführt werden.

Klicken sie auf "OK", um das Programm zu beenden.

(mit rotem X versteht sich)

Betätige ich besagten "OK" Button erscheint der Fehler etwas später wieder mit etwas anderen Adressen, falls jemand dazu eine
Meinung hatt,dann mal posten.



Letzteres Das Windows Tool hat keine bösartigen Files gefunden bei einer Vollständigen Suche.


P.S. Ich weiß ich hab vergessen das man ja mal googeln könnte, andererseits bin ich damit auch scho mal auf
Schnauze gefalln (sry für Ausdruck) und hab dann etwas funktionsuntüchtig gemacht, is aber schon ewig her.

Kleiner Nachtrag ich habe wie gesagt den Eintrag in der Registry zur msiexec16.exe gelöscht, erfreulicherweise bin ich jetzt wenigstens schon einmal diesen lästigen Fehler:

iexplore.exe - Fehler in Anwendung

Die Anweisung in "0x74906b37" verweist auf Speicher in "0x00000024". Der Vorgang
"read" konnte nicht auf dem Speicher durchgeführt werden.

Klicken sie auf "OK", um das Programm zu beenden.

losgeworden (mal sehen wie lange).

Wenns wenigstens nicht das Hauptproblem löst, kann ich damit vieleicht immerhin jemandem helfen, der auch diese lästige Fehlermeldung erhält.

da ich keine weitere Post bekommen habe, habe ich den Kampf aufgegeben und mein System neu aufgesetzt. :-(

Zitat:

Zitat von JanSFireb all

Kleiner Nachtrag ich habe wie gesagt den Eintrag in der Registry zur msiexec16.exe gelöscht, ...

War keine Pfadangabe zur msiexec16.exe in der Registry zu finden?