Bitte um eine Erklärung zum Log

Benutzerchen · 19.04.2007, 07:44

Hallo,

Unten ist mein HJT-Log zu finden. Erst dachte ich an "Virtumonde" und anschließend habe ich mir noch Informationen zur "Beseitigung" weiterer, ähnlicher Gemeinheiten durchgelesen und angewendet. Die Datei "fhhkj.ini" im Systemordner wird ständig wiederhergestellt bzw. mit "ihrem" Inhalt und "ihren" Attributen versehen; wenn die Datei "besetzt" ist, werden schrittweise weitere angelegt: "fhhkj.tmp", "fhhkj.ini2", "fhhkj.tmp2" (mehr nicht). Ansonsten hätte ich noch "jkkjhig.dll" und "jkhhf.dll" im gleichen Verzeichnis anzubieten. Übrigens werden auch die Registry-Autorun-Einträge o.g. Dateien m.o.w. sofort nach der Änderung zurückgesetzt.

Dass nicht noch mehr von den Dingern vorhanden sind, liegt am langen Löschen und -lassen weiterer Schmutzpartikel.

Logfile of HijackThis v1.99.1
Scan saved at 08:22:54, on 19.04.07
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\%WIN%\System32\smss.exe
C:\%WIN%\system32\winlogon.exe
C:\%WIN%\system32\services.exe
C:\%WIN%\system32\lsass.exe
C:\%WIN%\system32\svchost.exe
C:\%WIN%\System32\svchost.exe
C:\%WIN%\system32\ZoneLabs\vsmon.exe
C:\%WIN%\System32\CTSvcCDA.EXE
C:\%WIN%\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\%WIN%\System32\taskmgr.exe
C:\%WIN%\Explorer.EXE
C:\%DOWNLOADS%\hijackthis\HijackThis.exe

O2 - BHO: (no name) - AutorunsDisabled - (no file)
O2 - BHO: (no name) - {3E71DC86-4A5C-4C71-A185-EBE9AC2EB607} - C:\%WIN%\System32\jkkjhig.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {E821BCC7-AC19-4BA9-8B6F-944BED740B82} - C:\%WIN%\System32\jkhhf.dll
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [MSConfig] C:\%WIN%\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O8 - Extra context menu item: Alles mit NetXfer herunterladen - C:\Programme\Xi\NetXfer\NXAddList.html
O8 - Extra context menu item: Google AdSense Preview-Tool - h**p://pagead2.googlesyndication.com/pagead/preview/de/preview.html
O8 - Extra context menu item: Herunterladen mit NetXfer - C:\Programme\Xi\NetXfer\NXAddLink.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0\bin\npjpi160.dll
O10 - Unknown file in Winsock LSP: c:\%WIN%\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\%WIN%\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\%WIN%\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\%WIN%\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\%WIN%\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\%WIN%\system32\spacklsp.dll
O20 - Winlogon Notify: AutorunsDisabled - C:\%WIN%\
O20 - Winlogon Notify: jkhhf - C:\%WIN%\System32\jkhhf.dll
O20 - Winlogon Notify: jkkjhig - C:\%WIN%\SYSTEM32\jkkjhig.dll
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\%WIN%\System32\CTSvcCDA.EXE
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\%WIN%\system32\ZoneLabs\vsmon.exe

(%WIN% war Windows-Hauptordner
%DOWNLOADS% war das Downloadverzeichnis
h**p wurde auch eingesetzt,
Anti-Viren-Programme waren beim HJT-Durchlauf deaktiviert)

Vielen Dank!

Benutzerchen · 19.04.2007, 10:30

Das AVG-Update konnte wegen der nun als "damaged" eingestuften Installation nicht durchgeführt werden, obwohl die Datei "jkkjhig.dll" laut http://virusscan.jotti.org/Online malware scan von AVG gefunden wird. Ich habe einmal ein paar Tests gemacht:

http://www.virustotal.com/ über jkkjhig.dll

AntiVir 7.3.1.53 04.19.2007 HEUR/Malware
CAT-QuickHeal 9.00 04.18.2007 Adware.Virtumonde.gen
ClamAV devel-20070416 04.19.2007 Trojan.Packed-7
DrWeb 4.33 04.19.2007 Trojan.Virtumod
eTrust-Vet 30.7.3579 04.19.2007 Win32/Chisyne!generic
Panda 9.0.0.4 04.19.2007 Suspicious file
Sunbelt 2.2.907.0 04.14.2007 VIPRE.Suspicious
VirusBuster 4.3.7:9 04.18.2007 Adware.Vundo.Gen!Pac.8
Webwasher-Gateway 6.0.1 04.19.2007 Heuristic.Malware

Und bei http://virusscan.jotti.org/:

AntiVir HEUR/Malware gefunden
AVG Antivirus Generic2.FN gefunden
ClamAV Trojan.Packed-7 gefunden
VirusBuster Adware.Vundo.Gen!Pac.8 gefunden

jkhhf.dll

VT:
CAT-QuickHeal 9.00 04.18.2007 Adware.Virtumonde.gen
ClamAV devel-20070416 04.19.2007 Trojan.Packed-7
DrWeb 4.33 04.19.2007 Trojan.Virtumod
eTrust-Vet 30.7.3579 04.19.2007 Win32/Vundo!generic
Fortinet 2.85.0.0 04.19.2007 suspicious
Panda 9.0.0.4 04.19.2007 Suspicious file
Sunbelt 2.2.907.0 04.14.2007 VIPRE.Suspicious
VirusBuster 4.3.7:9 04.18.2007 Adware.Vundo.Gen!Pac.8
Webwasher-Gateway 6.0.1 04.19.2007 Win32.UPXpacked.gen (suspicious)

File size: 281172 bytes
MD5: 10592df13918ef3f4c1a585f8040780a
SHA1: 5db60b972162896c67f54be52287f922ab76ef8e
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Jotti:
ClamAV Trojan.Packed-7 gefunden
Dr.Web Trojan.Virtumod gefunden
VirusBuster Adware.Vundo.Gen!Pac.8 gefunden

fhhkj.ini

Nichts gefunden (VT-Infos: File size: 486329 bytes
MD5: 67b8578acdb6adf6c6eae7af6e5d43ac
SHA1: e16b19e0ac6f43d7dfc4cc72ea43ed8a4602a351)

Bitte um eine Erklärung zum Log

Log-Analyse und Auswertung: Bitte um eine Erklärung zum Log

Bitte um eine Erklärung zum Log

Bitte um eine Erklärung zum Log

Ähnliche Themen: Bitte um eine Erklärung zum Log