Hilfe! Habe Hijacker in FireFox!

typhoone · 10.06.2007, 18:47

Ich hab im Moment mehrere Trojaner die sich immer im Tempordner einnisten! Mein Antivir erkennt sie und löscht sie, aber die Biester kommen immer wieder

Und beim Surfen öffnet sich in FF manchmal ein neuer Tab und ich werd auf diese Seiten von WinantivirusPro und son Schmarn geleitet. Echt nervig!

Mein HJT logfile:

Code:

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 19:46:45, on 10.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16441)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\HijackThis\HJT1991.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3E69F33A-DCD8-4336-85B3-E2A0C0FC0201} - (no file)
O2 - BHO: (no name) - {404FB2CF-9F2D-45F8-A21B-ECD2A244D7A5} - C:\WINDOWS\system32\ctseqchk.dll
O2 - BHO: (no name) - {493436C7-9AF2-4E60-AD7E-CD06B0800C5A} - (no file)
O2 - BHO: (no name) - {4F98A088-DBA3-40AF-962D-0986AC216A2F} - (no file)
O2 - BHO: (no name) - {50D3472A-C4B5-4026-A6F3-91A5A93E2784} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {5FEE9BB4-C151-451A-9232-2DF947536BDA} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {76C22600-8AD3-42C4-958F-2BC3D379326F} - (no file)
O2 - BHO: (no name) - {7A4C1425-8FF1-4F6B-8301-B0BF926EEF97} - (no file)
O2 - BHO: (no name) - {7E116AF2-D715-492F-B3CC-076C19C9FEB9} - C:\WINDOWS\system32\gebcd.dll
O2 - BHO: (no name) - {8A551D14-1B5D-4D7F-AD5F-6CF528C17E04} - (no file)
O2 - BHO: (no name) - {92A444D2-F945-4dd9-89A1-896A6C2D8D22} - (no file)
O2 - BHO: (no name) - {BEDF30ED-41B2-4CDC-875A-ED063C81AF7B} - C:\WINDOWS\system32\fccaxvt.dll
O2 - BHO: (no name) - {C434B3B1-49EB-46F7-91CF-13E8EB5707B2} - (no file)
O2 - BHO: (no name) - {DE2050AC-A0F4-4083-B39F-5273EDCCCCD8} - (no file)
O2 - BHO: (no name) - {ED810152-EE68-47C4-B0AF-71DE41ECF246} - (no file)
O2 - BHO: (no name) - {FA710F75-3AEB-49AF-B639-CF457F173BE7} - (no file)
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ApachInc] rundll32.exe "C:\WINDOWS\system32\hvueaswk.dll",realset
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Zur Filterliste hinzufügen (WebWasher) - http://-Web.Washer-/ie_add
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1164215745574
O16 - DPF: {CD995117-98E5-4169-9920-6C12D4C0B548} (HGPlugin9USA Class) - http://gamedownload.ijjimax.com/gamedownload/dist/hgstart/HGPlugin9USA.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0EEB786B-B547-4995-BBB2-0EE36034C0C0}: NameServer = 217.237.150.115 217.237.151.205
O20 - Winlogon Notify: fccaxvt - C:\WINDOWS\SYSTEM32\fccaxvt.dll
O20 - Winlogon Notify: gebcd - C:\WINDOWS\system32\gebcd.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: dns cache reader (DNSCacheReader) - Unknown owner - C:\WINDOWS\system32\j3271230.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Vielen Dank im vorraus!

MfG typhoone

myrtille · 10.06.2007, 19:35

Hi,
du scheinst mehrere Sachen am Start zu haben. Lass bitte mal folgende Dateien bei virustotal auswerten:

Zitat:

O2 - BHO: (no name) - {404FB2CF-9F2D-45F8-A21B-ECD2A244D7A5} - C:\WINDOWS\system32\ctseqchk.dll
O2 - BHO: (no name) - {7E116AF2-D715-492F-B3CC-076C19C9FEB9} - C:\WINDOWS\system32\gebcd.dllO2 - BHO: (no name) - {BEDF30ED-41B2-4CDC-875A-ED063C81AF7B} - C:\WINDOWS\system32\fccaxvt.dll
O4 - HKLM\..\Run: [ApachInc] rundll32.exe "C:\WINDOWS\system32\hvueaswk.dll",realset
O23 - Service: dns cache reader (DNSCacheReader) - Unknown owner - C:\WINDOWS\system32\j3271230.exe (file missing)

Kopiere bitte immer den gesamten Text ab, allerdings erst wenn oben rechts "finished" steht.

lg myrtille

typhoone · 11.06.2007, 13:33

ctseqchk.dll:

Code:

ATTFilter

AhnLab-V3	2007.6.11.1	06.11.2007	no virus found
AntiVir	7.4.0.32	06.11.2007	ADSPY/Stud.A.43
Authentium	4.93.8	06.11.2007	no virus found
Avast	4.7.997.0	06.09.2007	Win32:Trojano-3384
AVG	7.5.0.467	06.10.2007	Adware Generic2.AMI
BitDefender	7.2	06.11.2007	Trojan.Agent.BHO.F
CAT-QuickHeal	9.00	06.09.2007	no virus found
ClamAV	devel-20070416	06.11.2007	AdWare.Stud
DrWeb	4.33	06.11.2007	no virus found
eSafe	7.0.15.0	06.10.2007	no virus found
eTrust-Vet	30.7.3710	06.11.2007	no virus found
Ewido	4.0	06.11.2007	Adware.Stud
FileAdvisor	1	06.11.2007	no virus found
Fortinet	2.85.0.0	06.11.2007	no virus found
F-Prot	4.3.2.48	06.08.2007	W32/Adware.KBB
F-Secure	6.70.13030.0	06.11.2007	no virus found
Ikarus	T3.1.1.8	06.11.2007	not-a-virus:AdWare.Win32.Stud.d
Kaspersky	4.0.2.24	06.11.2007	not-a-virus:AdWare.Win32.Stud.a
McAfee	5049	06.08.2007	no virus found
Microsoft	1.2503	06.11.2007	no virus found
NOD32v2	2322	06.11.2007	a variant of Win32/Adware.BHO.AA
Norman	5.80.02	06.08.2007	W32/Stud.AE
Panda	9.0.0.4	06.11.2007	no virus found
Prevx1	V2	06.11.2007	no virus found
Sophos	4.18.0	06.01.2007	no virus found
Sunbelt	2.2.907.0	06.09.2007	no virus found
Symantec	10	06.11.2007	Adware.Webprefix
TheHacker	6.1.6.132	06.11.2007	Adware/Stud.a
VBA32	3.12.0	06.10.2007	suspected of Trojan-Downloader.Agent.49
VirusBuster	4.3.23:9	06.10.2007	no virus found
Webwasher-Gateway	6.0.1	06.11.2007	Ad-Spyware.Stud.A.43

Aditional Information
File size: 31003 bytes
MD5: 01fa7ac56cf1dbf6acee09cd846899e6
SHA1: 854595e5a13237ff57815444d275aeac0eba7daa
packers: UPX
packers: UPX
packers: UPX
packers: UPX

gebcd.dll:

Code:

ATTFilter

AhnLab-V3	2007.6.11.1	06.11.2007	no virus found
AntiVir	7.4.0.32	06.11.2007	ADSPY/Virtumon.v.17
Authentium	4.93.8	06.11.2007	no virus found
Avast	4.7.997.0	06.09.2007	no virus found
AVG	7.5.0.467	06.10.2007	Adware Generic2.CTN
BitDefender	7.2	06.11.2007	Trojan.Vundo.DLW
CAT-QuickHeal	9.00	06.09.2007	AdWare.Virtumonde.fp (Not a Virus)
ClamAV	devel-20070416	06.11.2007	Trojan.Vundo-277
DrWeb	4.33	06.11.2007	Trojan.Virtumod
eSafe	7.0.15.0	06.10.2007	Suspicious Trojan/Worm
eTrust-Vet	30.7.3710	06.11.2007	Win32/Vundo!generic
Ewido	4.0	06.11.2007	no virus found
FileAdvisor	1	06.11.2007	no virus found
Fortinet	2.85.0.0	06.11.2007	no virus found
F-Prot	4.3.2.48	06.08.2007	W32/Adware.JMX
F-Secure	6.70.13030.0	06.11.2007	Vundo.gen26
Ikarus	T3.1.1.8	06.11.2007	not-a-virus:AdWare.Win32.Virtumonde.fp
Kaspersky	4.0.2.24	06.11.2007	not-a-virus:AdWare.Win32.Virtumonde.fp
McAfee	5049	06.08.2007	no virus found
Microsoft	1.2503	06.11.2007	no virus found
NOD32v2	2322	06.11.2007	Win32/Adware.Virtumonde
Norman	5.80.02	06.08.2007	Vundo.gen26
Panda	9.0.0.4	06.11.2007	Spyware/Virtumonde
Prevx1	V2	06.11.2007	no virus found
Sophos	4.18.0	06.01.2007	no virus found
Sunbelt	2.2.907.0	06.09.2007	VIPRE.Suspicious
Symantec	10	06.11.2007	Trojan.Vundo
TheHacker	6.1.6.132	06.11.2007	Adware/Virtumonde.fp
VBA32	3.12.0	06.10.2007	no virus found
VirusBuster	4.3.23:9	06.10.2007	Adware.Vundo.Gen!Pac.11
Webwasher-Gateway	6.0.1	06.11.2007	Ad-Spyware.Virtumon.v.17
 
Aditional Information
File size: 263220 bytes
MD5: f7632f0f70d9c4f595adf11eb123e4f6
SHA1: c50b9e9b5327b536728103a9a13feead391c15ca
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

fccaxvt.dll:

Code:

ATTFilter

AhnLab-V3	2007.5.9.0	05.09.2007	no virus found
AntiVir	7.4.0.32	06.11.2007	ADSPY/Virtumonde.JP.98
Authentium	4.93.8	06.11.2007	no virus found
Avast	4.7.997.0	06.09.2007	no virus found
AVG	7.5.0.467	05.08.2007	no virus found
BitDefender	7.2	06.11.2007	no virus found
CAT-QuickHeal	9.00	06.09.2007	AdWare.Virtumonde.jp (Not a Virus)
ClamAV	devel-20070416	05.09.2007	no virus found
DrWeb	4.33	06.11.2007	Trojan.Virtumod
eSafe	7.0.15.0	05.08.2007	Suspicious Trojan/Worm
eTrust-Vet	30.7.3710	06.11.2007	Win32/Chisyne!generic
FileAdvisor	1	06.11.2007	no virus found
Fortinet	2.85.0.0	06.11.2007	no virus found
F-Prot	4.3.2.48	05.08.2007	no virus found
F-Secure	6.70.13030.0	05.09.2007	no virus found
Ikarus	T3.1.1.7	05.09.2007	Backdoor.Win32.Prorat.19.i
Kaspersky	4.0.2.24	06.11.2007	not-a-virus:AdWare.Win32.Virtumonde.jp
McAfee	5049	06.08.2007	Vundo
Microsoft	1.2503	06.11.2007	no virus found
NOD32v2	2322	06.11.2007	Win32/Adware.Virtumonde
Norman	5.80.02	06.08.2007	W32/Virtumonde.dam
Panda	9.0.0.4	06.11.2007	Suspicious file
Prevx1	V2	06.11.2007	SpywareQuake
Sophos	4.18.0	06.01.2007	no virus found
Sunbelt	2.2.907.0	05.05.2007	VIPRE.Suspicious
Symantec	10	05.09.2007	no virus found
TheHacker	6.1.6.132	06.11.2007	no virus found
VBA32	3.12.0	06.10.2007	no virus found
VirusBuster	4.3.23:9	06.10.2007	Adware.Vundo.Gen!Pac.13
Webwasher-Gateway	6.0.1	05.09.2007	Win32.Malware.gen (suspicious)

Aditional Information
File size: 29206 bytes
MD5: fefbeefd4b9d005f73d5599e172d29f2
SHA1: 6ce5a940725cf922995262b7cdb7976fb006a581
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=3c3b99751641
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

hvueaswk.dll:

Code:

ATTFilter

AhnLab-V3	2007.6.11.1	06.11.2007	Win-Trojan/Virtumonde.Gen
AntiVir	7.4.0.32	06.11.2007	ADSPY/Virtumonde.AR.10
Authentium	4.93.8	06.11.2007	no virus found
Avast	4.7.997.0	06.09.2007	no virus found
AVG	7.5.0.467	06.10.2007	Adware Generic2.DKB
BitDefender	7.2	06.11.2007	GenPack:Trojan.Vundo.DLZ
CAT-QuickHeal	9.00	06.09.2007	Adware.Virtumonde.gen (Not a Virus)
ClamAV	devel-20070416	06.11.2007	Trojan.Packed-7
DrWeb	4.33	06.11.2007	Trojan.Virtumod
eSafe	7.0.15.0	06.10.2007	no virus found
eTrust-Vet	30.7.3710	06.11.2007	no virus found
Ewido	4.0	06.11.2007	no virus found
FileAdvisor	1	06.11.2007	no virus found
Fortinet	2.85.0.0	06.11.2007	suspicious
F-Prot	4.3.2.48	06.08.2007	no virus found
F-Secure	6.70.13030.0	06.11.2007	no virus found
Ikarus	T3.1.1.8	06.11.2007	not-a-virus:AdWare.Win32.Virtumonde.ar
Kaspersky	4.0.2.24	06.11.2007	not-a-virus:AdWare.Win32.Virtumonde.ar
McAfee	5049	06.08.2007	no virus found
Microsoft	1.2503	06.11.2007	no virus found
NOD32v2	2322	06.11.2007	Win32/Adware.Virtumonde
Norman	5.80.02	06.08.2007	Vundo.gen25
Panda	9.0.0.4	06.11.2007	Spyware/Virtumonde
Prevx1	V2	06.11.2007	no virus found
Sophos	4.18.0	06.01.2007	Virtumundo
Sunbelt	2.2.907.0	06.09.2007	VIPRE.Suspicious
Symantec	10	06.11.2007	Trojan.Vundo
TheHacker	6.1.6.132	06.11.2007	Adware/Virtumonde.ar
VBA32	3.12.0	06.10.2007	Application.Win32.Adware.Virtumonde
VirusBuster	4.3.23:9	06.10.2007	Adware.Vundo.Gen!Pac.14
Webwasher-Gateway	6.0.1	06.11.2007	Ad-Spyware.Virtumonde.AR.10

Aditional Information
File size: 131124 bytes
MD5: f90a59c34582743de4c392eac89fda5a
SHA1: aed3aed371cc5f247a9af476f9306de33b5fc852
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

myrtille · 11.06.2007, 13:41

Hi,
arbeite erstmal folgendes ab:

!!* Systemwiederherstellung deaktivieren.!! (Start->Rechtsklick auf Arbeitsplatz->Eigenschaften->Systemwiederherstellung)
* Lad dir Vundofix Download
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

Dann:
Fix mit HijackThis im abgesicherten Modus folgende Einträge:

Zitat:

O2 - BHO: (no name) - {7E116AF2-D715-492F-B3CC-076C19C9FEB9} - C:\WINDOWS\system32\gebcd.dllO2 - BHO: (no name) - {BEDF30ED-41B2-4CDC-875A-ED063C81AF7B} - C:\WINDOWS\system32\fccaxvt.dll
O4 - HKLM\..\Run: [ApachInc] rundll32.exe "C:\WINDOWS\system32\hvueaswk.dll",realset

Starte im normalen Modus.

Reiche bitte noch die Auswertung von folgender Datei nach:

Zitat:

C:\WINDOWS\system32\j3271230.exe

Erstelle eine neues HJT-Log und mache evtl noch einen
eScan (Die find.bat einfach per rechtsklick und "speichern unter" runterladen, in 12. den Teil mit der find.zip ignorieren und gleich bei der find.bat weitermachen.)

lg myrtille

Turion · 11.06.2007, 14:05

Ich finde AntiVir so wie so den größten Müll, genau wie Norton. Verwendet lieber avast! Antivirus. Das ist kostenlos und man bekommt immer automatische Updates.

Scheint so als wäre dein System ganz schön voller Trojaner...wo surfst du denn überall herum???

Hilfe! Habe Hijacker in FireFox!

Log-Analyse und Auswertung: Hilfe! Habe Hijacker in FireFox!