Hallo Leute,

mich hats voll erwischt trotz Windows Cursor Patch.
Ich surft über die internetseite Ragezone und schon hing irgendwas also taskmanager auf und IE beenden danach befanden sich 4 Dateien auf dem Desktop namens D1.exe, D2.exe, D3.exe, D4.exe. Habe gleich die Lanverbindung deaktiviert. Neugestarten in Abgesicherten Modus und Tempdateien gelöscht

Hab den Bitdefender 9 drüberlaufen lassen und der hat folgendes gefunden:

Code: Alles auswählenAufklappen

ATTFilter

//-----------------------------------------------------------------
//
//	Product: BitDefender 9 Professional Plus
//	Version: 9.5
//
//	Erstellt am:	18/04/2007	10:16:29
//
//-----------------------------------------------------------------


Statistik

Pfad	: C:\
Ordner	: 4772
Dateien	:  377604
Archive	: 2228 
Komprimierte Dateien	: 26846
Erkannte Viren	: 4
Infizierte Dateien	: 4
Warnungen	: 0
Verdächtige Dateien	: 0
Desinfizierte Dateien	: 0
Gelöschte Dateien	: 0
Kopierte Dateien	: 0
Verschobene Dateien	: 4
Umbenannte Dateien	: 0
I/O Fehler	: 15
Prüfzeit	: 00:46:24
Prüfgeschwindigkeit (Dateien/Sekunde)	: 135

Spyware Statistiken

Geprüfte Speicher-Prozesse:	 18
Infizierte Speicher-Prozesse:	 0
Geprüste Registrierungsschlüssel:	 1735
Infizierte Registrierungsschlüssel:	 0
Geprüfte Cookies:	 522
Infizierte Cookies:	 0
Infizierte Spyware-Dateien:	 0
Erkannte Spyware-Prozesse:	 0


Virusdefinitionen	: 532761
Scan Plug-Ins	: 16
Archiv Plug-Ins	: 41
Archiv Plug-Ins	: 6
E-Mail Plug-Ins	: 6
System Plug-Ins	: 5

Prüf-Optionen

Erkennung
[X] Boot-Sektoren prüfen
[X] Archive prüfen
[X] Komprimierte Dateien prüfen
[X] E-Mails prüfen

Dateimaske
[ ] Programme
[X] Alle Dateien
[ ] Benutzerdefinierte Erweiterungen: 
[ ] Ausgeschlossene Erweiterungen: ;

Aktion

Infizierte Objekte
[ ] Ignorieren
[X] Desinfizieren
[ ] Löschen
[ ] In die Quarantäne kopieren
[ ] In die Quarantäne verschieben
[ ] Umbenennen
[ ] Benutzer abfragen

Zweite Aktion
[ ] Ignorieren
[ ] Löschen
[ ] In die Quarantäne kopieren
[X] In die Quarantäne verschieben
[ ] Umbenennen
[ ] Benutzer abfragen

Prüf-Optionen
[X] Warnungen aktiviert
[X] Heuristik aktiviert
[ ] Alle Dateien im Bericht anzeigen
[X] Berichtsdatei: C:\Programme\Softwin\BitDefender9\Logs\vscan_1176884189.log

Prüfoptionen für Spyware

[X] Speicher-Prozesse
[X] Registrierungsschlüssel
[X] Cookies


Zusammenfassung:

C:\Dokumente und Einstellungen\cliff\Lokale Einstellungen\Temporary Internet Files\Content.IE5\56IJO7WE\d3[1].exe	Infiziert mit: Trojan.Downloader.Tibs.GWE
C:\Dokumente und Einstellungen\cliff\Lokale Einstellungen\Temporary Internet Files\Content.IE5\56IJO7WE\d3[1].exe	Desinfizieren fehlgeschlagen
C:\Dokumente und Einstellungen\cliff\Lokale Einstellungen\Temporary Internet Files\Content.IE5\56IJO7WE\d3[1].exe	Verschoben
C:\Dokumente und Einstellungen\cliff\Lokale Einstellungen\Temporary Internet Files\Content.IE5\56IJO7WE\d5[1].exe	Infiziert mit: Trojan.Dropper.Agent.BOL
C:\Dokumente und Einstellungen\cliff\Lokale Einstellungen\Temporary Internet Files\Content.IE5\56IJO7WE\d5[1].exe	Desinfizieren fehlgeschlagen
C:\Dokumente und Einstellungen\cliff\Lokale Einstellungen\Temporary Internet Files\Content.IE5\56IJO7WE\d5[1].exe	Verschoben
C:\Dokumente und Einstellungen\cliff\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PCBXLSTR\d1[1].exe	Infiziert mit: GenPack:Trojan.Downloader.Small.AAU
C:\Dokumente und Einstellungen\cliff\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PCBXLSTR\d1[1].exe	Desinfizieren fehlgeschlagen
C:\Dokumente und Einstellungen\cliff\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PCBXLSTR\d1[1].exe	Verschoben
C:\Dokumente und Einstellungen\cliff\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SKC9GQH1\file[1].ani	Infiziert mit: Exploit.Win32.MS05-002.Gen
C:\Dokumente und Einstellungen\cliff\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SKC9GQH1\file[1].ani	Desinfizieren fehlgeschlagen
C:\Dokumente und Einstellungen\cliff\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SKC9GQH1\file[1].ani	Verschoben
         

hier ist mal meine hijacklog

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 13:00:04, on 18.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\PowerISDNMonitor\Wrapper.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\NetDrive\wdService.exe
C:\WINDOWS\system32\java.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Softwin\BitDefender9\vsserv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe
C:\Programme\NetDrive\netdrive.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Ashampoo\Ashampoo UnInstaller Platinum Suite\UIWatcher.exe
C:\Programme\DeTeWe\TA 33 USB\Capictrl.exe
C:\Programme\mdTOOLS\Monitor Switcher\Monitor Switcher.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\system32\cmd.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Dokumente und Einstellungen\cliff\Desktop\hijackthis\HijackThis.exe
C:\WINDOWS\system32\netstat.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: &Quero - {A411D7F4-8D11-43EF-BDE4-AA921666388A} - C:\PROGRA~1\QUEROT~1\Quero.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] "C:\PROGRA~1\Softwin\BITDEF~1\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\PROGRA~1\Softwin\BITDEF~1\bdswitch.exe"
O4 - HKLM\..\Run: [WebDriveTray] C:\Programme\NetDrive\netdrive.exe /trayicon
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [UIWatcher] C:\Programme\Ashampoo\Ashampoo UnInstaller Platinum Suite\UIWatcher.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe
O4 - Startup: Monitor Switcher.lnk = C:\Programme\mdTOOLS\Monitor Switcher\Monitor Switcher.exe
O4 - Global Startup: CAPIControl.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{464C789A-5318-440C-843D-3CD08B297844}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{9322B1B7-2327-4164-9C66-E00483F459EC}: NameServer = 192.168.0.1
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PowerISDNMonitor - Unknown owner - C:\Programme\PowerISDNMonitor\Wrapper.exe
O23 - Service: ProKal Mail Internet - Unknown owner - C:\Programme\ProKal\ProKalWorker.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: WebDrive Service (WebDriveService) - Unknown owner - C:\Programme\NetDrive\wdService.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
         

wenn man die Lanverbindung aktiviert und netstat eingibt wirds nach 1 min. nicht mehr so lustig, hier der screene:



das kommt bei jedem mal lanverbindung aktivieren nach 1 min.

Hoffe ihr könnt mir und den leuten denen das noch passiert helfen. MfG

Ich würde Dich gerne um etwas bitten:

Um Hilfesuchenden helfen zu können, benötigen wir u.a. eScan (ein Virenscanner). Da sich bei dem Programm aber einiges geändert hat, brauche ich Logfiles von Usern mit infizierten Rechnern. Wärst Du bereit, einen Scan mit eScan zu machen, die Logdatei bei file-upload.net hochzuladen und den Download für diese Datei hier zu posten (oder mir per PM zu senden)?
Ich würde dieses Log von Hand auswerten und das Ergebnis hier posten.

Die Anleitung für eScan findest Du hier.
Bitte lade die Auswertedatei nicht herunter und überspringe alle Punkte die mit der find.bat zu tun haben. Wichtig ist, dass bei der Installation Englisch als Sprache gewählt wird (ist die Standardeinstellung). Führe einfach den Scan wie beschrieben durch. Nach Beendigung suche bitte per Windowssuchfunktion die Datei mwav.log und lade sie bei file-upload.net hoch.

Danke und Gruß

Marc

Edit: Wenn Du eScan heruntergeladen und aktualisiert hast, würde ich an Deiner Stelle den Rechner erstmal vom Netz nehmen. Solange der Rechner im Netz ist, wirft er mit Spammails nur so um sich.

Halli hallo.

Ich würde nicht über den I-Explorer Surfen. Ist zu unsicher. FireFox ist 'ne gute Alternative..
Lies zu dem Thema auch mal den link in meiner Signatur durch.

Nun zur Sache:

Ins Netz solltest du mit dem Rechner nach Möglichkeit nimmer..

Lade dir CCleaner auf den Rechner und lasse das Proggi arbeiten. Die Refistry musst mehrmals überprüfen und reinigen lassen..

Lasse folgende Dateien auf Virustotal überprüfen und poste den Bericht.

" C:\Programme\ProKal\ProKalWorker.exe "
" C:\Programme\mdTOOLS\Monitor Switcher\Monitor Switcher.exe "

Dann lass dein System mal mit der Trial von MooSoft durchkauen. Dauert lange! Poste auch hier das logFile.

Dann wechselst du mal in den abgesicherten Modus und lässt Bitdefender (up to date) einen kompletten scan machen. Lösche alles was gefunden wird.

Hallo,

danke für die schnellen antworten, den rechner habe bereits gleich zu beginn vom netz genommen, bin ja kein spamverteiler.

eScan habe ich versucht leider bekommt er nach 40000 dateien immer bluescreen und startet neu, allerdings hat er 6 critische probleme gefunden.

Normalerweise nutze ich opera doch die macht gewohnheit...das hat man nun davon.

Prokal und Monitorswitcher is gescannt und clean, sind programme die ich auch nutze.

Werde jetzt nocheinmal moosoft probieren und versuchen irgendwie escan zum laufen zu bringen. melde mich sobald es neues von der front gibt. danke bis dahin schonmal

Das mwav.log sollte dennoch erstellt worden sein, wenn auch nicht vollständig. Gruß