Hi,

ich hatte einige Zeit Probleme mit dem Trojaner TR/Vidro.U.
Nachdem ich ihn gelöscht hatte, war er bei jedem Neustart wieder da. Das ging mehrere Monate.
Dann war er plötzlich verschwunden, obwohl ich, soweit ich weiß, nichts Spezielles dagegen unternommen habe.

Zwischendurch hatte ich immer wieder kleinere Probleme, wie z.B. mit Hängern beim Anmelden, einem nur 10 sec dauernden Scan von Spybot oder mit 2 Dateien im Temp-ordner, die ich nicht löschen/öffnen kann. KA, ob sie schädlich sind. (~DF1E66.tmp und ~DF1E59.tmp).

Im Systemstart sind auch Dateien von denen ich nicht weiß, ob sie schädlich sind. Beim Googlen tauchten bei einem jedenfalls Hinweise auf einen Virus auf.(StartCpl.exe)


Daher erbitte ich eine Auswertung meines HJT Logfiles, damit ich weiß, woran ich bin.


Logfile of HijackThis v1.99.1
Scan saved at 19:00:12, on 26.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\EzButton\CPLBTS88.EXE
C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\TouchPad\TPTray.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Apoint2K\Apntex.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ***
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar4.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [CPLBTS88] C:\PROGRA~1\EzButton\CPLBTS88.EXE
O4 - HKLM\..\Run: [CeEKEY] C:\Programme\TOSHIBA\E-KEY\CeEKey.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [nmdllw] xwiz.exe
O4 - HKLM\..\Run: [media64] StartCpl.exe
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [dmfwv.exe] C:\WINDOWS\system32\dmfwv.exe
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0S2.EXE /P23 "EPSON Stylus C66 Series" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - Startup: OpenOffice.org 2.1.lnk.disabled
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
O4 - Global Startup: Launchy.lnk.disabled
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - h**p://appldnld.m7z.net/qtinstall.info.apple.com/pthalo/de/win/QuickTimeFullInstaller.exe
O16 - DPF: {963BE66B-121D-4E6C-BF9F-1A774D9A2E41} - h**p://de.moneycentral.msn.com/cabs/pmupdate2.exe
O16 - DPF: {BD3653E4-884B-43C4-970B-670802501B7F} - h**p://akamai.downloadv3.com/binaries/P2EClient/EGAUTH_1043_EN_XP.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{185E3CBF-5013-4AD9-80CD-79CC321D0D9E}: NameServer = **5.95.218.1,**.255.112.*
O17 - HKLM\System\CCS\Services\Tcpip\..\{29F249DD-E81F-417A-B1A6-64FCC06EDDDE}: NameServer = **5.95.218.1,**.255.112.*
O17 - HKLM\System\CCS\Services\Tcpip\..\{5BD68CD3-40E0-40DF-8C25-CF9852428064}: NameServer = **5.95.218.1,**.255.112.*
O17 - HKLM\System\CS1\Services\Tcpip\..\{185E3CBF-5013-4AD9-80CD-79CC321D0D9E}: NameServer = **5.95.218.1,**.255.112.*
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


Habe die IP's weiter unten im Logfile ebenfalls durch Sternchen unkenntlich gemacht, war das richtig?

Hallo und im Trojaner Board!


1. Diese Zeilen hier:

Zitat:

O17 - HKLM\System\CS1\Services\Tcpip\..\{185E3CBF-5013-4AD9-80CD-79CC321D0D9E}: NameServer = **5.95.218.1,**.255.112.*

Ich brauche die komplette IP-Adresse (ist wenn sowieso nur vom Router ).

Außerdem:

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\system32\dmfwv.exe

* Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)


Arbeiten mit MWAV (eScan)

* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)

Gruß
Sunny

Vielen Dank für die schnelle Hilfe, das ging ja echt fix

So, eScan hat lange gescannt, aber jetzt hab ich das Log-File.
Der erste Updateversuch ist fehlgeschlagen, der 2. hat funktioniert.

Die richtige IP:195.95.218.1,85.255.112.7

Meldung von Virustotal:0 bytes size received / Se ha recibido un archivo vacio

Bei Schritt 13 der eScan Anleitung habe ich nicht über Start>Ausführen>cmd neu gebootet, sondern den PC ausgeschaltet und dann neu hochgefahren, ist das schlimm?


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.04.20.01
Installationssprache Deutsch
find.bat im normalen Modus ausgefuehrt

Microsoft Windows XP [Version 5.1.2600]
Version REG_SZ 9.1.9
Thu Apr 26 19:51:00 2007 => Virus-Datenbank Datum: 4/25/2007
Thu Apr 26 20:10:34 2007 => Virus-Datenbank Datum: 4/25/2007
Thu Apr 26 22:19:17 2007 => Virus-Datenbank Datum: 4/25/2007
Thu Apr 26 22:20:44 2007 => Virus-Datenbank Datum: 4/25/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Apr 26 20:30:35 2007 => Object "grokster Spyware/Adware" in Dateisystem

gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Thu Apr 26 20:30:36 2007 => Object "wareout Adware" in Dateisystem gefunden!

Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Thu Apr 26 20:30:37 2007 => Object "UnSpyPC adware" in Dateisystem gefunden!

Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Thu Apr 26 20:30:38 2007 => Object "grokster Spyware/Adware" in Dateisystem

gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Thu Apr 26 20:30:48 2007 => Object "gohip Spyware/Adware" in Dateisystem gefunden!

Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Thu Apr 26 20:30:55 2007 => System found infected with savenow Adware

(C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.
Thu Apr 26 20:30:55 2007 => System found infected with wareout Adware

(C:\WINDOWS\rdt.ini)! Action taken: Keine Aktion vorgenommen.
Thu Apr 26 20:30:56 2007 => System found infected with wareout Adware

(C:\WINDOWS\system32\loadctr32.exe)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Thu Apr 26 20:30:55 2007 => Offending file found: C:\WINDOWS\system32\unrar.dll
Thu Apr 26 20:30:55 2007 => Offending file found: C:\WINDOWS\rdt.ini
Thu Apr 26 20:30:56 2007 => Offending file found: C:\WINDOWS\system32\loadctr32.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Thu Apr 26 20:30:48 2007 => Offending Folder found: C:\Dokumente und

Einstellungen\***\Desktop\alles\blitztbasic\mediendateien\graphics\cliparts\jpeg

s&gifs\photos\classic photos jpeg\apparel
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Thu Apr 26 20:30:35 2007 => Offending Key found: HKLM\Software\magnet !!!
Thu Apr 26 20:30:36 2007 => Offending Key found:

HKLM\Software\Microsoft\Windows\CurrentVersion\urls !!!
Thu Apr 26 20:30:38 2007 => Offending Key found: HKCU\\magnet !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Thu Apr 26 19:58:24 2007 => Invalid Entry DllName = appmgmts.dll (in key

SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}).

Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
Thu Apr 26 20:31:15 2007 => C:\WINDOWS\system32\msexnpbi.exe nicht gescannt.

Wahrscheinlich durch Passwort geschützt...
Thu Apr 26 20:34:48 2007 => C:\WINDOWS\system32\msexnpbi.exe nicht gescannt.

Wahrscheinlich durch Passwort geschützt...
Thu Apr 26 21:22:26 2007 => C:\Dokumente und Einstellungen\***\Lokale

Einstellungen\Temporary Internet Files\Content.IE5\WDEZ8PIZ\gamesplayer[1].exe nicht

gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath REG_EXPAND_SZ %SystemRoot%\System32\drivers\etc
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Apr 26 20:10:34 2007 => Gescannte Dateien: 1446
Thu Apr 26 22:19:17 2007 => Gescannte Dateien: 125101
Thu Apr 26 20:10:34 2007 => Gefundene Viren: 0
Thu Apr 26 22:19:17 2007 => Gefundene Viren: 8
Thu Apr 26 20:10:34 2007 => Anzahl der desinfizierten Dateien: 0
Thu Apr 26 22:19:17 2007 => Anzahl der desinfizierten Dateien: 0
Thu Apr 26 20:10:34 2007 => Umbenannte Dateien: 0
Thu Apr 26 22:19:17 2007 => Umbenannte Dateien: 0
Thu Apr 26 20:10:34 2007 => Anzahl der gelöschten Dateien: 0
Thu Apr 26 22:19:17 2007 => Anzahl der gelöschten Dateien: 0
Thu Apr 26 20:10:34 2007 => Anzahl Fehler: 4
Thu Apr 26 22:19:17 2007 => Anzahl Fehler: 254
Thu Apr 26 20:10:34 2007 => Dauer des Scans bisher: 00:12:03
Thu Apr 26 22:19:17 2007 => Dauer des Scans bisher: 02:07:38
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Thu Apr 26 19:58:07 2007 => Specherüberprüfung: Aktiviert
Thu Apr 26 20:11:20 2007 => Specherüberprüfung: Aktiviert
Thu Apr 26 19:58:07 2007 => Registry Überprüfung: Aktiviert
Thu Apr 26 20:11:20 2007 => Registry Überprüfung: Aktiviert
Thu Apr 26 19:58:07 2007 => System-Ordner Überprüfung: Aktiviert
Thu Apr 26 20:11:20 2007 => System-Ordner Überprüfung: Aktiviert
Thu Apr 26 19:58:07 2007 => Überprüfung der Systembereiche: Deaktiviert
Thu Apr 26 20:11:20 2007 => Überprüfung der Systembereiche: Deaktiviert
Thu Apr 26 19:58:07 2007 => Überprüfung der Dienste: Aktiviert
Thu Apr 26 20:11:20 2007 => Überprüfung der Dienste: Aktiviert
Thu Apr 26 19:58:07 2007 => Überprüfung der Festplatten: Deaktiviert
Thu Apr 26 20:11:20 2007 => Überprüfung der Festplatten: Deaktiviert
Thu Apr 26 19:58:07 2007 => Überprüfung aller Festplatten :Aktiviert
Thu Apr 26 20:11:20 2007 => Überprüfung aller Festplatten :Aktiviert

Was muss ich als nächstes tun?

Sunnys Dateien online überprüfen lassen

Wenn du diesen Teil meinst:

Zitat:

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

Das hab ich ja schon versucht, Virustotal gibt eine Fehlermeldung, 0bytes Empfangen.