Browser Hijacker ?

kerosin · 16.06.2007, 17:16

Hi ich habe seit gestern nacht ein großes Problem.
Ich weiß gar nicht wo ich überhaupt anfangen soll. Also erst war auffällig dass die Firefox.exe zweimal im Task war obwohl ich sie nur einma geöffnet hatte. Ich habe mehrmals Firefox deinstalliert-installiert aber das Problem bleib bestehen. Habe zu dem Zeitpunkt AntiVir benutzt.
Nun als ich gemerkt habe dass sich das Problem auch auf die iexplore.exe übertrug hab ich mir Kaspersky Anti-Virus besorgt. Dies blockt zwar mittlerweile durch den Proaktiven Schutz den Schädling aber es kostet mich eine Menge Nerven und CPU: http://i7.tinypic.com/6ffx8r9.jpg (siehe Screenshot)
Leider findet Kaspersky den Virus nicht. Ich hoffe ihr könnt mir helfen.

Hier mein Hijack-Log (eScan-Log ist sinnlos wenn ich Kaspersky benutze oder?)

Logfile of HijackThis v1.99.1
Scan saved at 18:03:52, on 16.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Anti-Virus 6\avp.exe
C:\WINDOWS\ehome\ehSched.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\Kaspersky Anti-Virus 6\avp.exe
C:\Programme\WLAN\ZDWlan.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\ehome\ehmsas.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Anti-Virus 6\avp.exe"
O4 - Startup: 802.11g WLan Utility.lnk = C:\Programme\WLAN\ZDWlan.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Anti-Virus 6\avp.exe" -r (file missing)

nochdigger · 16.06.2007, 17:39

Moin

Zitat:

Dies blockt zwar mittlerweile durch den Proaktiven Schutz den Schädling

verrate uns doch auch welcher Schädling wo gefunden wird (Pfad/Dateiname/Schädlingsbezeichnung).

Erstelle ein neues HijackThis log, benenne aber die Hijackthis.exe um in z.B. ABC.exe.
Lade dir auch mal Blacklight runter
und poste anschließend das Log (findest du im selben Ordner wie Blacklight).

MFG

kerosin · 16.06.2007, 17:57

Zitat:

Zitat von nochdigger

verrate uns doch auch welcher Schädling wo gefunden wird (Pfad/Dateiname/Schädlingsbezeichnung).

Mein Kaspersky zeigt "Invader" an, jedoch auch bei der Explorer.exe. Auch bei Baclklight. In Zusammenhang mit der firefox.exe kann ich mich nur an zwei .dll Dateien errinern die ich natürlich sofort gelöscht habe (uthux.dll und freeb33d.dll oder so, kann den genauen namen nicht mehr wiedergeben).

Ich hab nochmal Spybot drüber laufen lassen, auch nix.
Hier mein Hijack-log nachdem ich die exe unbenannt habe:

Logfile of HijackThis v1.99.1
Scan saved at 18:49:45, on 16.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Anti-Virus 6\avp.exe
C:\WINDOWS\ehome\ehSched.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Kaspersky Anti-Virus 6\avp.exe
C:\Programme\WLAN\ZDWlan.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\ehome\ehmsas.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Winamp\winamp.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
E:\fsbl.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
E:\ABC.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Microsoft Windows Update
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Anti-Virus 6\avp.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: 802.11g WLan Utility.lnk = C:\Programme\WLAN\ZDWlan.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O20 - Winlogon Notify: Antiwpa - C:\WINDOWS\SYSTEM32\antiwpa.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Anti-Virus 6\avp.exe" -r (file missing)

Hier noch mein BlackLight-Log:

06/16/07 18:42:11 [Info]: BlackLight Engine 1.0.61 initialized
06/16/07 18:42:11 [Info]: OS: 5.1 build 2600 (Service Pack 2)
06/16/07 18:42:14 [Note]: 7019 4
06/16/07 18:42:14 [Note]: 7005 0
06/16/07 18:43:39 [Note]: 7006 0
06/16/07 18:43:39 [Note]: 7011 1876
06/16/07 18:43:55 [Note]: 7026 0
06/16/07 18:43:56 [Note]: 7026 0
06/16/07 18:44:03 [Note]: FSRAW library version 1.7.1021
06/16/07 19:01:37 [Note]: 7007 0

nochdigger · 16.06.2007, 18:10

Hallo

OK da scheinen wir nicht weiter zu kommen, mach bitte alle versteckten Dateien und Ordner sichtbar.

Lade dir mal die Filelist.zip

1.) Lade dir die Filelist.zip auf den Desktop
2.) entpacke die Zip-Datei auf deinen Desktop
3.) starte den Rechner neu
4.) öffne die auf dem Desktop vorhandene filelist.bat mit Doppelklick auf die Datei
5.) dein Editor (Textverarbeitungsprogramm) wird sich öffnen
6.) markiere von diesen Inhalt aus jedem Verzeichnis jeweils nur die letzten 3 Monate, wähle kopieren, poste den Inhalt dieser Dateien
in nächsten Beitrag
(es werden von diesen 8 Ordnern Abblilder erstellt :C:\, C:\WINDOWS\system, C:\WINDOWS\system32, C:\WINDOWS,
C:\WINDOWS\Prefetch, C:\WINDOWS\tasks, C:\WINDOWS\Temp, C:\DOCUME~1\Name\LOCALS~1\Temp).

MFG

kerosin · 16.06.2007, 18:29

hab das Betriebssystem noch keine 3 Monate installiert, 2 WOchen oder so
hier der list :

(Der Text, den Sie eingegeben haben, besteht aus 111924 Zeichen und ist damit zu lang. Bitte kürzen Sie den Text auf die maximale Länge von 25000 Zeichen)
Hm moment ich lad die Datei woanders hoch

// Files.to - Free Uploads

nochdigger · 16.06.2007, 18:46

Hallo
ich habs mal schnell auf die letzten 3 Monate eingekürzt wie es mir gewünscht hatte

----- Root -----------------------------
Datentr„ger in Laufwerk C: ist Win XP MCE
Volumeseriennummer: 704A-0574

Verzeichnis von C:\

16.06.2007 19:28 43 filelist.txt
16.06.2007 18:22 536.403.968 hiberfil.sys
16.06.2007 18:22 805.306.368 pagefile.sys
16.06.2007 14:45 209 boot.ini
13.06.2007 21:37 0 AUTOEXEC.BAT
13.06.2007 21:37 0 IO.SYS
13.06.2007 21:37 0 MSDOS.SYS
13.06.2007 21:37 0 CONFIG.SYS

11 Datei(en) 1.342.014.288 Bytes
0 Verzeichnis(se), 52.234.440.704 Bytes frei

----- Windows --------------------------
Datentr„ger in Laufwerk C: ist Win XP MCE
Volumeseriennummer: 704A-0574

Verzeichnis von C:\WINDOWS

16.06.2007 18:22 0 0.log
16.06.2007 18:22 59.874 WindowsUpdate.log
16.06.2007 18:22 2.048 bootstat.dat
16.06.2007 18:11 26 Lic.xxx
16.06.2007 17:12 417.118 ntbtlog.txt
16.06.2007 16:17 1.654 SchedLgU.Txt
16.06.2007 14:52 150 ODBC.INI
16.06.2007 14:51 49 transp.gif
16.06.2007 14:45 227 system.ini
16.06.2007 14:45 477 win.ini
16.06.2007 14:41 22.890 setupapi.log
16.06.2007 12:18 335 mozregistry.dat
15.06.2007 12:27 1.374 imsins.BAK
15.06.2007 11:12 1.395 mozver.dat
15.06.2007 10:20 30.327 Irremote.ini
13.06.2007 21:58 316.640 WMSysPr9.prx
13.06.2007 21:52 0 nsreg.dat
13.06.2007 21:42 8.192 REGLOCS.OLD
13.06.2007 21:37 0 control.ini
13.06.2007 21:37 4.161 ODBCINST.INI
13.06.2007 21:35 749 WindowsShell.Manifest
13.06.2007 21:32 37 vbaddin.ini
13.06.2007 21:32 36 vb.ini
26.03.2007 13:56 11.441 atiogl.xml

61 Datei(en) 3.977.220 Bytes
0 Verzeichnis(se), 52.234.440.704 Bytes frei

----- System ---
Datentr„ger in Laufwerk C: ist Win XP MCE
Volumeseriennummer: 704A-0574

Verzeichnis von C:\WINDOWS\system

05.08.2004 14:00 70.368 AVICAP.DLL
05.08.2004 14:00 109.504 AVIFILE.DLL
05.08.2004 14:00 33.744 COMMDLG.DLL
05.08.2004 14:00 2.000 KEYBOARD.DRV
05.08.2004 14:00 9.936 LZEXPAND.DLL
05.08.2004 14:00 73.760 MCIAVI.DRV
05.08.2004 14:00 25.296 MCISEQ.DRV
05.08.2004 14:00 28.160 MCIWAVE.DRV
05.08.2004 14:00 69.632 MMSYSTEM.DLL
05.08.2004 14:00 1.152 MMTASK.TSK
05.08.2004 14:00 2.032 MOUSE.DRV
05.08.2004 14:00 127.104 MSVIDEO.DLL
05.08.2004 14:00 82.944 OLECLI.DLL
05.08.2004 14:00 24.064 OLESVR.DLL
05.08.2004 14:00 59.167 setup.inf
05.08.2004 14:00 5.120 SHELL.DLL
05.08.2004 14:00 1.744 SOUND.DRV
05.08.2004 14:00 5.532 stdole.tlb
05.08.2004 14:00 3.360 SYSTEM.DRV
05.08.2004 14:00 19.200 TAPI.DLL
05.08.2004 14:00 4.048 TIMER.DRV
05.08.2004 14:00 9.200 VER.DLL
05.08.2004 14:00 2.176 VGA.DRV
05.08.2004 14:00 13.600 WFWNET.DRV
05.08.2004 14:00 146.944 WINSPOOL.DRV
25 Datei(en) 929.787 Bytes
0 Verzeichnis(se), 52.234.436.608 Bytes frei

----- System 32 (Achtung: Zeitfenster beachten!) ---
Datentr„ger in Laufwerk C: ist Win XP MCE
Volumeseriennummer: 704A-0574

Verzeichnis von C:\WINDOWS\system32

16.06.2007 19:28 36.376 wsocket
16.06.2007 18:23 2.278 wpa.dbl
16.06.2007 13:15 2.550 Uninstall.ico
16.06.2007 13:15 1.406 Help.ico
16.06.2007 13:14 30.590 pavas.ico
15.06.2007 12:46 93.480 FNTCACHE.DAT
15.06.2007 12:21 428.032 perfh009.dat
15.06.2007 12:21 66.434 perfc009.dat
15.06.2007 12:21 78.322 perfc007.dat
15.06.2007 12:21 443.060 perfh007.dat
15.06.2007 12:21 1.023.910 PerfStringBackup.INI
15.06.2007 12:11 16.832 amcompat.tlb
15.06.2007 12:11 23.392 nscompat.tlb
13.06.2007 22:28 0 h323log.txt
13.06.2007 22:11 584 settingsbkup.sfm
13.06.2007 22:11 584 settings.sfm
13.06.2007 21:41 911 $winnt$.inf
13.06.2007 21:37 2.951 CONFIG.NT
13.06.2007 21:35 488 logonui.exe.manifest
13.06.2007 21:35 488 WindowsLogon.manifest
13.06.2007 21:35 749 ncpa.cpl.manifest
13.06.2007 21:35 749 sapi.cpl.manifest
13.06.2007 21:35 749 cdplayer.exe.manifest
13.06.2007 21:35 749 wuaucpl.cpl.manifest
13.06.2007 21:35 749 nwc.cpl.manifest
13.06.2007 21:32 21.740 emptyregdb.dat
13.06.2007 09:28 188.416 MPSA.ax
13.06.2007 09:28 106.496 GenDMOProp.dll
13.06.2007 09:28 55.296 CLDump.ax
13.06.2007 09:28 524.288 TSFileSource.ax
13.06.2007 09:28 106.496 MPTS.ax
13.06.2007 09:28 69.632 MPTSWriter.ax
13.06.2007 09:28 192.512 MPReader.ax
13.06.2007 09:28 86.016 WinTVCapWriter.ax
13.06.2007 09:28 184.320 MpgMux.ax
13.06.2007 09:28 1.060.864 MFC71.dll
13.06.2007 09:28 200.704 shoutcastsource.ax
13.06.2007 09:28 1.047.552 MFC71u.dll
13.06.2007 09:28 249.856 cdxareader.ax
13.06.2007 09:28 499.712 msvcp71.dll
13.06.2007 09:28 348.160 msvcr71.dll
05.06.2007 23:38 15.747.032 MRT.exe
19.05.2007 22:37 206.352 klogon.dll
18.05.2007 03:58 339.968 ATIDEMGX.dll
18.05.2007 03:58 307.200 atiiiexx.dll
18.05.2007 03:57 268.288 ati2dvag.dll
18.05.2007 03:51 139.264 atipdlxx.dll
18.05.2007 03:50 26.112 Ati2mdxx.exe
18.05.2007 03:50 42.496 ati2edxx.dll
18.05.2007 03:50 118.784 ati2evxx.dll
18.05.2007 03:49 479.232 ati2evxx.exe
18.05.2007 03:48 53.248 ATIDDC.DLL
18.05.2007 03:41 2.922.144 ati3duag.dll
18.05.2007 03:39 7.610.368 atioglx2.dll
18.05.2007 03:30 1.512.960 ativvaxx.dll
18.05.2007 03:30 3.107.788 ativva5x.dat
18.05.2007 03:30 972.072 ativva6x.dat
18.05.2007 03:30 3.107.788 ativvaxx.dat
18.05.2007 03:19 5.431.296 atioglxx.dll
18.05.2007 03:17 262.144 atikvmag.dll
18.05.2007 03:16 17.408 atitvo32.dll
18.05.2007 03:14 46.592 atiok3x2.dll
18.05.2007 03:10 368.640 ati2cqag.dll
17.05.2007 21:05 520.192 ati2sgag.exe
16.05.2007 17:11 683.520 inetcomm.dll
04.05.2007 14:27 3.079.680 mshtml.dll
25.04.2007 16:22 144.896 schannel.dll
24.04.2007 11:32 1.485.696 LegitCheckControl.dll
23.04.2007 02:15 1.044.480 libdivx.dll
23.04.2007 02:15 200.704 ssldivx.dll
18.04.2007 18:13 2.854.400 msi.dll
18.04.2007 14:31 664.576 wininet.dll
18.04.2007 14:31 617.472 urlmon.dll
18.04.2007 14:31 474.624 shlwapi.dll
18.04.2007 14:31 1.494.528 shdocvw.dll
18.04.2007 14:31 39.424 pngfilt.dll
18.04.2007 14:31 146.432 msrating.dll
18.04.2007 14:31 449.024 mshtmled.dll
18.04.2007 14:31 532.480 mstime.dll
18.04.2007 14:31 251.392 iepeers.dll
18.04.2007 14:31 1.023.488 browseui.dll
18.04.2007 14:31 96.768 inseng.dll
18.04.2007 14:31 55.808 extmgr.dll
18.04.2007 14:31 152.064 cdfview.dll
18.04.2007 14:31 1.056.256 danim.dll
18.04.2007 14:31 16.384 jsproxy.dll
18.04.2007 14:31 205.312 dxtrans.dll
18.04.2007 14:31 357.888 dxtmsft.dll
18.04.2007 12:27 123.392 xpsp3res.dll
16.04.2007 17:53 1.058.304 kernel32.dll
05.04.2007 20:15 144.357 atiicdxx.dat
04.04.2007 01:05 7.069 atifglpf.xml
23.03.2007 22:23 77.824 Oemdspif.dll
23.03.2007 06:07 1.683.280 XpsSvcs.dll
23.03.2007 06:07 583.504 XPSSHHDR.dll
22.03.2007 20:25 124.928 prntvpt.dll
17.03.2007 15:44 293.376 winsrv.dll
15.03.2007 18:17 337.280 WgaTray.exe
15.03.2007 18:16 236.928 WgaLogon.dll
14.03.2007 02:04 139.264 javaws.exe
14.03.2007 02:04 69.632 javacpl.cpl
14.03.2007 00:31 135.168 javaw.exe
14.03.2007 00:31 135.168 java.exe
08.03.2007 17:36 579.072 user32.dll
08.03.2007 17:36 281.600 gdi32.dll
08.03.2007 17:36 40.960 mf3216.dll
08.03.2007 17:32 1.843.712 win32k.sys
08.03.2007 01:51 379.640 pxwave.dll
08.03.2007 01:51 547.576 px.dll
08.03.2007 01:51 39.672 vxblock.dll
08.03.2007 01:51 187.128 pxmas.dll
08.03.2007 01:51 1.628.920 pxsfs.dll
08.03.2007 01:51 64.760 pxinsa64.exe
08.03.2007 01:51 64.760 pxcpya64.exe
08.03.2007 01:51 129.784 pxafs.dll
08.03.2007 01:51 510.712 pxdrv.dll
08.03.2007 01:51 72.440 pxhpinst.exe

1992 Datei(en) 392.995.453 Bytes
0 Verzeichnis(se), 52.234.248.192 Bytes frei

----- Prefetch -------------------------
Datentr„ger in Laufwerk C: ist Win XP MCE
Volumeseriennummer: 704A-0574

Verzeichnis von C:\WINDOWS\Prefetch

16.06.2007 19:28 10.802 FIND.EXE-0EC32F1E.pf
16.06.2007 19:28 14.252 CMD.EXE-087B4001.pf
16.06.2007 19:27 67.152 IEXPLORE.EXE-2CA9778D.pf
16.06.2007 19:23 19.176 NOTEPAD.EXE-336351A9.pf
16.06.2007 19:22 24.416 VERCLSID.EXE-3667BD89.pf
16.06.2007 19:22 147.798 WINRAR.EXE-3588DFE8.pf
16.06.2007 19:03 18.804 TASKMGR.EXE-20256C55.pf
16.06.2007 19:02 12.710 FSBL.EXE-0D1E68D9.pf
16.06.2007 18:58 21.750 FIREFOX.EXE-17EE503B.pf
16.06.2007 18:49 12.068 ABC.EXE-17D0ABE1.pf
16.06.2007 18:49 17.126 HIJACKTHIS.EXE-16BE1076.pf
16.06.2007 18:46 23.480 DRWTSN32.EXE-2B4B52AC.pf
16.06.2007 18:46 35.862 DWWIN.EXE-30875ADC.pf
16.06.2007 18:36 103.608 SPYBOTSD.EXE-1D495A65.pf
16.06.2007 18:35 8.390 UPDATE.EXE-334BAC79.pf
16.06.2007 18:34 20.258 SPYBOTSD_INCLUDES.EXE-3B524636.pf
16.06.2007 18:33 19.220 IS-VNNHU.TMP-02ACCAAF.pf
16.06.2007 18:33 14.444 SPYBOTSD14.EXE-04E34F2E.pf
16.06.2007 18:29 18.860 RUNDLL32.EXE-4C3E9088.pf
16.06.2007 18:24 97.798 ICQ.EXE-3425F561.pf
16.06.2007 18:24 39.152 WUAUCLT.EXE-399A8E72.pf
16.06.2007 18:24 61.026 WINAMP.EXE-08C38ED9.pf
16.06.2007 18:24 1.532.556 NTOSBOOT-B00DFAAD.pf
16.06.2007 18:11 15.512 MWAVL.EXE-1ED41FCA.pf
16.06.2007 18:09 42.760 SCANNINGPROCESS.EXE-1B76AC10.pf
16.06.2007 18:06 25.470 MWAVSCAN.COM-24F42715.pf
16.06.2007 18:01 21.564 REGSVR32.EXE-25EEFE2F.pf
16.06.2007 18:01 33.824 REGEDIT.EXE-1B606482.pf
16.06.2007 17:56 47.080 WMIPRVSE.EXE-28F301A9.pf
16.06.2007 17:55 25.132 WUPDMGR.EXE-2F30BEAB.pf
16.06.2007 17:52 23.516 LEECHER.EXE-12936694.pf
16.06.2007 17:40 36.736 AVP.EXE-3B0A2FFC.pf
16.06.2007 17:35 18.940 LOGONUI.EXE-0AF22957.pf
16.06.2007 17:33 81.612 PROCEXP.EXE-1C5B84C8.pf
16.06.2007 17:31 12.624 I_VIEW32.EXE-0B6C3BA4.pf
16.06.2007 17:30 20.290 FIREFOX.EXE-1D57670A.pf
16.06.2007 16:17 9.816 WSCNTFY.EXE-1B24F5EB.pf
16.06.2007 16:15 27.956 MSIEXEC.EXE-2F8A8CAE.pf
16.06.2007 16:14 17.552 SETUP.EXE-08EE0FEC.pf
16.06.2007 16:14 32.060 FIREFOX SETUP 2.0.0.4.EXE-2037FF3F.pf
16.06.2007 15:48 63.406 AVP.EXE-3A93C463.pf
16.06.2007 15:38 2.468 EXPLORER.EXE-082F38A9.pf
16.06.2007 15:37 8.532 KAVUNINSTALL.EXE-12C01CF3.pf
16.06.2007 15:36 10.114 KAV6.0.2.621DE.EXE-0A91204D.pf
16.06.2007 15:35 52.892 RUNDLL32.EXE-13404D23.pf
16.06.2007 15:20 2.002 _REGDLL.TMP-00D98F49.pf
16.06.2007 15:16 67.590 RUNDLL32.EXE-398386F9.pf
16.06.2007 15:14 7.416 INSTALL.EXE-36B9B10D.pf
16.06.2007 15:09 2.026 _IU14D2N.TMP-38A1306E.pf
16.06.2007 15:06 1.396 UNINS000.EXE-1C52C1FB.pf
16.06.2007 15:06 15.020 UNINST.EXE-0E54F8CF.pf
16.06.2007 15:03 39.014 RUNDLL32.EXE-1831A4F3.pf
16.06.2007 15:03 41.606 CONTROL.EXE-013DBFB5.pf
16.06.2007 15:02 194.392 OORUNDLL.EXE-3B8AF565.pf
16.06.2007 14:55 19.016 SVCHOST.EXE-3530F672.pf
16.06.2007 14:55 33.702 EHMSAS.EXE-181DA6C9.pf
16.06.2007 14:54 15.856 ALG.EXE-0F138680.pf
16.06.2007 14:54 37.702 IMAPI.EXE-0BF740A4.pf
16.06.2007 14:53 42.070 CCC.EXE-1B087988.pf
16.06.2007 14:45 26.354 MSCONFIG.EXE-35E4DAE9.pf
16.06.2007 14:41 20.578 RUNONCE.EXE-2803F297.pf
16.06.2007 14:41 57.432 NETCFG.EXE-032E50E7.pf
16.06.2007 14:31 15.686 RUNDLL32.EXE-153DB7CA.pf
16.06.2007 14:31 12.800 GRPCONV.EXE-111CD845.pf
16.06.2007 14:31 16.216 RUNDLL32.EXE-4AE0D50D.pf
16.06.2007 14:30 26.280 SETUP.EXE-12BD2899.pf
16.06.2007 14:30 17.152 DAMNNF~1.EXE-1DD13C30.pf
16.06.2007 14:27 31.854 FTPRUSH.EXE-18226C19.pf
16.06.2007 14:15 29.896 RUNDLL32.EXE-17E44E21.pf
16.06.2007 14:02 70.710 MWAV.EXE-19F0E41A.pf
16.06.2007 13:51 29.026 GUARDGUI.EXE-1BD45C30.pf
16.06.2007 13:50 28.472 OOSERECY.EXE-1D48613A.pf
16.06.2007 13:07 36.230 AVNOTIFY.EXE-22AE9451.pf
16.06.2007 13:06 37.766 UPDATE.EXE-13D57D76.pf
16.06.2007 13:06 14.636 PREUPD.EXE-358AA1C1.pf
16.06.2007 12:59 48.102 OP_VIEWER.EXE-1F3D48FB.pf
16.06.2007 12:49 42.940 WGATRAY.EXE-0ED38BED.pf
16.06.2007 02:48 35.652 EASYSPYREMOVER.EXE-088A02F7.pf
16.06.2007 02:47 17.438 IS-F2GS7.TMP-073A08B5.pf
16.06.2007 02:47 14.138 EASYSPYREMOVER-SETUP.EXE-10292C63.pf
16.06.2007 02:43 6.706 SPUPDSVC.EXE-21B36524.pf
16.06.2007 02:43 52.324 WINDOWSXP-KB905474-DEU-X86.EX-01F1244D.pf
16.06.2007 02:43 49.626 UPDATE.EXE-28AC1641.pf
15.06.2007 18:25 112.532 VLC.EXE-166FB010.pf
15.06.2007 18:23 16.034 SETUP.EXE-233B0356.pf
15.06.2007 18:21 43.532 OUTPOST.EXE-0813EA5E.pf
15.06.2007 18:15 25.188 CRAAGLE.EXE-3692D0F8.pf
15.06.2007 18:14 24.110 AUPDRUN.EXE-00F226B7.pf
15.06.2007 18:09 14.956 OUTPOSTPROINSTALL.EXE-295FF4D5.pf
15.06.2007 18:09 12.344 IS-MS8TB.TMP-08E08B6D.pf
15.06.2007 17:59 14.344 7ZA.EXE-0061AC8E.pf
15.06.2007 17:59 54.826 IS-4B03B.TMP-1B96CE76.pf
15.06.2007 17:44 14.816 AU_.EXE-1563F1CE.pf
15.06.2007 17:44 12.216 HELPER.EXE-244ABC1F.pf
15.06.2007 17:44 11.850 UNINSTALLER.EXE-2294980C.pf
15.06.2007 17:35 7.636 UPDATER.EXE-319F53D7.pf
15.06.2007 17:32 13.810 XP-ANTISPY.EXE-0A1E13AC.pf
15.06.2007 17:23 30.566 MIRANDA32.EXE-248B043D.pf
15.06.2007 16:59 10.800 SPOOLSV.EXE-282F76A7.pf
15.06.2007 16:45 25.000 RUNDLL32.EXE-17CC4B45.pf
15.06.2007 15:39 503.552 Layout.ini
15.06.2007 15:31 116.046 MSCORSVW.EXE-1BF30400.pf
15.06.2007 15:03 27.898 EHSCHED.EXE-1E5750BC.pf
15.06.2007 15:03 75.674 EHREC.EXE-3B4F59C8.pf
15.06.2007 15:00 29.330 CSC.EXE-01730C27.pf
15.06.2007 15:00 10.732 CVTRES.EXE-2329DCD5.pf
15.06.2007 14:59 70.250 MEDIAPORTAL.EXE-319BF3FB.pf
15.06.2007 14:57 78.750 CONFIGURATION.EXE-2F203D54.pf
15.06.2007 14:24 111.408 EHSHELL.EXE-00D8CD6D.pf
15.06.2007 14:23 39.016 RUNDLL32.EXE-2576181F.pf
15.06.2007 13:50 38.910 RUNDLL32.EXE-44A0B4BC.pf
15.06.2007 13:07 32.212 UNREGMP2.EXE-07CACB61.pf
15.06.2007 12:21 9.640 NGEN.EXE-38021CCC.pf
15.06.2007 12:13 30.246 LODCTR.EXE-1009C3B4.pf
114 Datei(en) 5.845.610 Bytes
0 Verzeichnis(se), 52.234.334.208 Bytes frei

----- Tasks ----------------------------
Datentr„ger in Laufwerk C: ist Win XP MCE
Volumeseriennummer: 704A-0574

Verzeichnis von C:\WINDOWS\tasks

16.06.2007 18:22 6 SA.DAT
05.08.2004 14:00 65 desktop.ini
2 Datei(en) 71 Bytes
0 Verzeichnis(se), 52.234.334.208 Bytes frei

----- Windows/Temp -----------------------
Datentr„ger in Laufwerk C: ist Win XP MCE
Volumeseriennummer: 704A-0574

Verzeichnis von C:\WINDOWS\Temp

16.06.2007 19:28 8.192 cch~34b8a8de6.htp
16.06.2007 19:28 8.192 cch~34b8a82e3.htp
16.06.2007 19:27 8.192 cch~3469a62a5.htp
16.06.2007 19:27 8.192 cch~3469a6f3d.htp
16.06.2007 19:27 8.192 cch~346926046.htp
16.06.2007 19:27 8.192 cch~34692579f.htp
16.06.2007 18:25 8.192 cch~27635c3f.htp
16.06.2007 18:25 8.192 cch~27636636.htp
16.06.2007 18:23 409 WGANotify.settings
16.06.2007 18:22 255 WGAErrLog.txt
16.06.2007 13:06 0 Upd1.tmp
11 Datei(en) 66.200 Bytes
0 Verzeichnis(se), 52.234.330.112 Bytes frei

----- Temp -----------------------------
Datentr„ger in Laufwerk C: ist Win XP MCE
Volumeseriennummer: 704A-0574

Verzeichnis von C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp

16.06.2007 18:27 519 jusched.log
16.06.2007 18:24 0 JET642E.tmp
16.06.2007 18:24 1.020 ~ROMFN_00000744
16.06.2007 18:19 0 JET60E2.tmp
16.06.2007 17:33 16.384 Perflib_Perfdata_ac8.dat
5 Datei(en) 17.923 Bytes
0 Verzeichnis(se), 52.234.330.112 Bytes frei

Ich komm aber erst morgen dazu drüber zu schauen.

MFG

kerosin · 16.06.2007, 18:50

Zitat:

Zitat von nochdigger

Ich komm aber erst morgen dazu drüber zu schauen.

MFG

Alles klar, danke für deine Mühe!
Echt toller Support hier

nochdigger · 17.06.2007, 07:29

Moin

such bei Kaspersky bitte mal nach Funden oder den gelöschtem Objekten (ich kann dir leider nicht sagen wo ich kenn den Kasper nicht) oder poste das Log mit den Funden.

MFG

kerosin · 17.06.2007, 10:55

das ist ja das Problem. Kaspersky findet keinen Virus. Es stellt nur beim proaktiven Schutz fest dass die Anwendungen sich ändern und dauernd versuchen zuzugreifen.
Als Virus Anzeige steht bei mir nur:
"gefunden: potentiell gefährliche Software Invader" aber halt nur auf Grund der Anwendungen.
Hier ma Screenshot der Warnungen:
http://i14.tinypic.com/687jxw9.jpg

Das tritt dann auch beim Internetexplorer auf mit dlls wie:
uxtheme.dll
msvcr71.dll
scrchpg.dll
Wenn ich die lösch kommen sie wieder oder es sind halt andere...

Leider hab ich fast ne CPU-Auslastung von 100% wenn ich das mit Kaspersky blockier, da diese Anfragen dauerhaft kommen

Hab mal gegoogelt, ich schein nicht der einzige mit son Problem zu sein, hab aber bisher keine Lösung gefunden

Filelist hat auch nix gebracht oder?

kerosin · 17.06.2007, 13:23

Immer noch keine Lösung gefunden, muss wohl formatieren -.-

Hab mir Ad-Aware 2007 auch installiert, auch nix gefunden.
CleanUp! hat auch zu keiner verbesserung geführt.
iclean hat auch keine neuen Ergebnissen geliefert.
und durch Hostsxpert hat sich die Situation auch nicht geändert.

kerosin · 17.06.2007, 15:59

so ich hab die Lösung gefunden glaub ich, bisher läuft alles super :aplaus:

Also ich hab Firefox ma deinstalliert und geguckt ob das Problem noch weiter besteht. Und irgendwie wurde dann die explorer.exe belastet. Naja hab dann mit procexp die explorer.exe neugestartet und dann gesehen dass eine so genannte "wsocket.exe" auf den explorer zugegriffen hat.

Bin dann im Abgesichterten Modus gegangen und hab die Dateien "wsocket","wsocket.exe" (aus system32) und "WSOCKET.EXE-17687705.pf" (aus Prefetch) alle verschoben und unbenannt.
Hab nun die Datei bei VirusTotal hochgeladen und siehe da:
Antivir: HEUR/Crypted
Authentium: Possibly a new variant of W32/NewMalware-Mr-T-Inspector!
BitDefender: MemScan:Trojan.Agent.ASC
CAT-QuickHeal: (Suspicious) - DNAScan
F-Prot: W32/NewMalware-Mr-T-Inspector!Maximus
Kaspersky: no virus found

Komisch dass meine Viren-Programme den nicht identifizieren konnten aber nun bin ich den schonmal los

Ich install jetzt nochma Firefox neu und guck ob alles läuft. Editier gleich obs geklappt hat.

// alles klar hat funktioniert! Hab alle Mozilla/Firefox Dateien von der Platte entfernt und in der Registry die letzten Einträge noch entfernt (hab dabei noch wsocket einträge gefunden) und hab alles gelöscht. Dann rebootet und neu installiert.
Läuft alles perfekt. Werd jetzt procexp öfters benutzen, echt hilfreich. Kann man da irgendwie nen log aktivieren? Man sieht die Anwendungen nämlich immer nur ganz kurz starten. Danke für euere Unterstützung hier und ich hoffe ich kann anderen bei ihren Problem helfen

Grüße kerosin

Browser Hijacker ?

Plagegeister aller Art und deren Bekämpfung: Browser Hijacker ?