Win32/Adware.BHO.AA Anwendung

FightingArea · 22.06.2007, 12:32

Hallo Boarduser...

Brauche dringend Hilfe bei einem Problem, welches ich nun seit mehreren Tagen erfolglos versuche zu bekämpfen.

Mein Nod32 Virenscanner bringt mir seit Tagen die im Titelthema enthaltene Meldung...
Ich poste nun einmal die Log-Datei von NOD32 um das nachvollziehbar zu machen:

Zeit Modul Objekt Name Threat Aktion Nutzer Information
22.06.2007 10:15:49 AMON Datei C:\DOKUME~1\Mobil\LOKALE~1\Temp\V0UCFHa02628 Win32/Adware.BHO.AA Anwendung Unter Quarantäne gestellt. - gelöscht ACER-MOBIL\Mobil Versuch Datei zu erstellen durch: C:\Programme\Internet Explorer\iexplore.exe. Die Datei wurde in die Quarantäne verschoben. Sie können dieses Fenster schließen.
22.06.2007 07:12:37 AMON Datei C:\System Volume Information\_restore{1CBD0B0B-EA4C-4F21-953F-69ACBF46EAC1}\RP28\A0005731.dll eine Variante von Win32/Adware.BHO.AA Anwendung Unter Quarantäne gestellt. - gelöscht NT-AUTORITÄT\SYSTEM Versuch Datei zu erstellen durch: C:\WINDOWS\System32\svchost.exe. Die Datei wurde in die Quarantäne verschoben. Sie können dieses Fenster schließen.
21.06.2007 07:23:15 Kernel Datei C:\WINDOWS\system32\winrnr32.dll eine Variante von Win32/Adware.BHO.AA Anwendung
20.06.2007 19:35:39 Kernel Datei c:\windows\system32\winrnr32.dll eine Variante von Win32/Adware.BHO.AA Anwendung
19.06.2007 22:28:38 Kernel Datei C:\WINDOWS\system32\winrnr32.dll eine Variante von Win32/Adware.BHO.AA Anwendung
18.06.2007 19:39:16 Kernel Datei c:\windows\system32\winrnr32.dll eine Variante von Win32/Adware.BHO.AA Anwendung
15.06.2007 22:57:44 Kernel Datei c:\windows\system32\winrnr32.dll eine Variante von Win32/Adware.BHO.AA Anwendung
15.06.2007 17:56:34 Kernel Datei C:\WINDOWS\system32\winrnr32.dll eine Variante von Win32/Adware.BHO.AA Anwendung
14.06.2007 19:08:53 Kernel Datei c:\windows\system32\winrnr32.dll eine Variante von Win32/Adware.BHO.AA Anwendung
14.06.2007 16:39:15 Kernel Datei C:\WINDOWS\system32\winrnr32.dll eine Variante von Win32/Adware.BHO.AA Anwendung

Das soweit die Log von NOD.
Ich habe nun vor 2 Tagen die winrnr32.dll gelöscht...
Nun bekomme ich wie oben zu sehen die Meldung, dass die svchost irgendeine Datei generiert die Schadcode enthält.
Ich habe mittlerweile keine Ahnung mehr wie und wonach ich suchen soll..
Ich poste nun auch noch die HijackThis Log und hoffe, dass mir vielleicht jemand helfen kann...sollte ich in diesem Post irgendwelche wichtigen Informationen unterschlagen haben so faltet mich nicht gleich zusammen sondern sagt mir was noch fehlt...bin zwar Neuling hier im Board..doch Computertechnisch nicht der größte DAU

Hier nun die Log:

Logfile of HijackThis v1.99.1
Scan saved at 13:12:30, on 22.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Acer\Empowering Technology\admServ.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Acer\Empowering Technology\admtray.exe
C:\Programme\Eset\nod32kui.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\DOKUME~1\Mobil\LOKALE~1\Temp\RtkBtMnt.exe
C:\Programme\Nero\Nero 7\InCD\InCD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe
F:\Tools\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R3 - URLSearchHook: Torrent-Search toolbar - {e0c7b854-d5ce-4db6-9804-be1438603d89} - C:\Programme\Torrent-Search\tbTorr.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Torrent-Search toolbar - {e0c7b854-d5ce-4db6-9804-be1438603d89} - C:\Programme\Torrent-Search\tbTorr.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: Torrent-Search toolbar - {e0c7b854-d5ce-4db6-9804-be1438603d89} - C:\Programme\Torrent-Search\tbTorr.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{6ABBC951-8AC7-4E13-AD63-943D89EF2F7F}: NameServer = 194.25.0.52
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

OS: Windows XP Professional SP2 mit allen Updates bis zum heutigen Tag

undoreal · 22.06.2007, 12:51

Hallöle.

Das hört sich aber garnicht gut an.. iexplorer.exe infiziert, svchost(oder Varianten) macht Zicken... Ich tippe auf ein kompromitiertes System. Im HijackThis log ist nichts zu erkennen was die Sache um so schlimmer macht..

Führe doch einen eScan durch, dann wissen wir mehr. Anleitung ist in meiner Signatur verlinkt. Aber mach dir nicht zu viele Hoffnungen; wahrscheinlich musst du neuaufsetzten.

Gruß

Undoreal

FightingArea · 22.06.2007, 13:59

Bin jetzt gerade dabei den eScan durchzführen und er hat auch schon einige Fehler bzw Viren gefunden...löscht diese allerdings nicht...werde die Log Datei bzw das Protokoll in den nächsten Minuten an diesen Post anhängen.

LOG:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.2.8
Sprache: German
C:\DOKUME~1\Mobil\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\Programme\Eset\infected\Z3Z3PADA.NQF//PE-Crypt.XorPE//UPX markiert als "not-a-virus:AdWare.Win32.Stud.d". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{1CBD0B0B-EA4C-4F21-953F-69ACBF46EAC1}\RP32\A0005884.exe markiert als not-a-virus:PSWTool.Win32.PWDump.d. Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{1CBD0B0B-EA4C-4F21-953F-69ACBF46EAC1}\RP32\A0005885.dll markiert als not-a-virus:PSWTool.Win32.PWDump.d. Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{1CBD0B0B-EA4C-4F21-953F-69ACBF46EAC1}\RP32\A0005892.dll markiert als not-a-virus:PSWTool.Win32.PWDump.2. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Mobil\Anwendungsdaten\icq\bart\1024
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\\magnet !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\DOKUME~1\Mobil\LOKALE~1\TEMPOR~1\Content.IE5\6D12NI54\Nokia_PC_Suite_683_rel_14_1_ger_web[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\Mobil\LOKALE~1\TEMPOR~1\Content.IE5\87GRQVY9\dotnetfx[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Mobil\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6D12NI54\Nokia_PC_Suite_683_rel_14_1_ger_web[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Mobil\Lokale Einstellungen\Temporary Internet Files\Content.IE5\87GRQVY9\dotnetfx[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 101830
Gefundene Viren: 7
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 23
Dauer des Scans bisher: 01:14:02
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 15:38:27,00

undoreal · 22.06.2007, 14:42

Zitat:

löscht diese allerdings nicht

das ist ja auch so gewollt! Hast du die Anleitung gründlich gelesen??

Gruß

Undoreal

FightingArea · 22.06.2007, 14:48

Siehe nun unten meine LOG-File und bitte um weitere Hilfe!

undoreal · 22.06.2007, 16:35

Das log gefällt mir bei den Problemen aber garnicht.

Mache nun bitte folgendes:

-Lösche die Backup-Dateien deines NOD32.

-Deaktiviere die Systemwiederherstellung auf allen Laufwerken.

-Folge diesen Anleitungen:

+AntiRootkit Scanner Anleitung
+Prevx1 Anleitung

poste erstellte logs!!

-Update NOD32 und wähle die intensivsten Scan-Einstellungen (Hab' kp von NOD ^^ )

-Installiere und update Spybot sowie AdAware auf deinem Rechner.

-Folge dieser Anleitung zu SmitfraudFix. Führe das Programm allerdings so oft aus, dass nichts mehr gefunden wird. Nach dem ersten Durchlauf poste bitte das erstellte log.

-Im abgesicherten Modus lässt du dann auch Spybot und AdAware laufen. Entferne ALLES was gefunden wird.

-Lasse NOD32 laufen. Entferne auch hier alles.

-Das gleiche machst du nochmal im normalen Modus.

Gruß

Undoreal

Win32/Adware.BHO.AA Anwendung

Plagegeister aller Art und deren Bekämpfung: Win32/Adware.BHO.AA Anwendung