Windows Safety Alert - Trojaner geatarnt als Virusprogramm?

sfranzl · 17.07.2007, 12:53

hallo,

habe mir gestern ein nerviges programm eingefangen mit dem namen "Windows Safety Alert", dass mir permanent suggerieren will, dass mein PC infiziert ist und ich doch irgendeine software von denen runterladen soll

was ich bemerkt habe ist, dass dateien von mir verschwunden sind, die ich über icq und msn empfangen habe, kann das mit diesem Virus/spy oder was auch immer zu tun haben?

hab über google zu diesem thema einige foren durchsucht, bin aber dieser ganzen computerfachsprache nicht so mächtig...

was ich schon einmal gemacht habe: ein HijackLog ausgefürht. Dabei kam folgendes ergebnis:

Logfile of HijackThis v1.99.1
Scan saved at 13:27:34, on 17.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Video ActiveX Access\imsmain.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Video ActiveX Access\imsmn.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\hijack\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQ\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {CF5C0777-62D5-477C-8DDC-78DCB50FB191} - C:\WINDOWS\system32\dmdlgs32.dll
O2 - BHO: (no name) - {E26CEADA-67B0-4543-BE8B-307F00265118} - C:\Programme\Video ActiveX Access\iesplg.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [QMusic] C:\Programme\BenQ\QMusic2\QMAgent.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\AutoCAD 2002 Deu\InstFred.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1103813990234
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD 2002 Deu\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcPreview.ocx
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

ich hoffe ihr könnt mir mit möglichst leicht verständlichen anweisungen weiterhelfen.
danke
Franz

Rene-gad · 17.07.2007, 13:31

Zitat:

Zitat von sfranzl

ich hoffe ihr könnt mir mit möglichst leicht verständlichen anweisungen weiterhelfen.

http://www.trojaner-board.de/36610-v...kinguefen.html

sfranzl · 17.07.2007, 13:42

also soll ich jetze diesen smitfraudfix scan machen?
im normalen oder abgesicherten modus? wie gelange ich in den abgesicherten modus?

danke für deine hilfe

Rene-gad · 17.07.2007, 13:47

@sfranzl
mach genau das, was im Thread steht.
BTW: Wenn du dich den Nub gehalten hättest, würdest du keinen neuen Thread öffnen.

Zitat:

1. Bevor Du postest, benutze Google sowie die Boardsuche und informiere Dich über Dein Problem. Du bist erfahrungsgemäß nicht der erste, der diese Frage stellt. Arbeite die empfohlenen Maßnahmen durch.

sfranzl · 17.07.2007, 13:50

ich habe über google danach gesucht, nur leider sind die anweisungen für mich immer ein wenig unübersichtilich...
ich werde jetzt im abgesicherten modus ein hijack und das andere logfile ausführen und dann hier die ergebnisse posten !?

sfranzl · 17.07.2007, 14:10

ich hab im abgesicherten modus mit smitfraud diese clean aktiion durchgeführt und dann folgendes logfile erhalten:

SmitFraudFix v2.204

Scan done at 14:57:58,32, 17.07.2007
Run from C:\Programme\hijack\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{33b8d257-07f6-4c06-8605-94bc21728635}"="discommodiousness"

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost
127.0.0.1 localhost
127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\DOKUME~1\ALLUSE~1\STARTM~1\Online Security Guide.url Deleted
C:\DOKUME~1\ALLUSE~1\STARTM~1\Security Troubleshooting.url Deleted
C:\Programme\Video ActiveX Access\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{71B8CA05-7925-453D-9C2F-546EC7F1FBEF}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{71B8CA05-7925-453D-9C2F-546EC7F1FBEF}: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

hijack logfile habe ich auch im abgesicherten modus erstellt:

Logfile of HijackThis v1.99.1
Scan saved at 15:01:29, on 17.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\hijack\hijackthis\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQ\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {CF5C0777-62D5-477C-8DDC-78DCB50FB191} - C:\WINDOWS\system32\dmdlgs32.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [QMusic] C:\Programme\BenQ\QMusic2\QMAgent.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\AutoCAD 2002 Deu\InstFred.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1103813990234
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD 2002 Deu\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcPreview.ocx
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

ich hoffe ich habe bis jetzt alles richtig gemacht, wie soll ich nun fortfahren?
danke schon mal für deine hilfe / geduld mit mir...
PS: das gelbe system alert dreick is nach dem neustart aus dem abgesicherten modus aus der taskleiste verschwunden ~>hoffnung

mmk · 17.07.2007, 14:25

Starte HijackThis mit "Do a System Scan only".
Markiere sodann diese beiden Zeilen mittels Setzens eines Häkchens:

Code:

ATTFilter

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {CF5C0777-62D5-477C-8DDC-78DCB50FB191} - C:\WINDOWS\system32\dmdlgs32.dll

Wähle, "Fix checked", bestätige die nachfolgende Abfrage mit "Ja".
Starte das System neu.

Erstell anschließend mit Datfind sechs LogFiles wie dort beschrieben, und poste sie hier (bitte nur jeweils die Einträge der letzten dreißig Tage).

sfranzl · 17.07.2007, 14:45

hier die 6 logs der reihe nach:

system32.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 70E5-FFA6

Verzeichnis von C:\WINDOWS\system32

17.07.2007 15:31 13.646 wpa.dbl
17.07.2007 15:30 25.065 wmpscheme.xml
17.07.2007 14:58 0 tmp.txt
17.07.2007 14:58 2.686 tmp.reg
11.07.2007 16:38 8.704 onljweo.dll
28.06.2007 09:57 16.256.984 MRT.exe
28.05.2007 12:08 191.384 FNTCACHE.DAT

systemtemp.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 70E5-FFA6

Verzeichnis von C:\DOKUME~1\Paule\LOKALE~1\Temp

windows.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 70E5-FFA6

Verzeichnis von C:\WINDOWS

17.07.2007 15:31 0 0.log
17.07.2007 15:31 1.591.495 WindowsUpdate.log
17.07.2007 15:31 159 wiadebug.log
17.07.2007 15:31 50 wiaservc.log
17.07.2007 15:30 2.048 bootstat.dat
17.07.2007 15:29 32.622 SchedLgU.Txt
17.07.2007 14:58 176.891 setupact.log
17.07.2007 14:55 100.136 ntbtlog.txt
17.07.2007 13:01 1.409 QTFont.for
17.07.2007 13:01 54.156 QTFont.qfn
12.07.2007 18:21 86.762 wmsetup.log
12.07.2007 18:21 951.860 setupapi.log
11.07.2007 16:42 124.962 iis6.log
11.07.2007 16:42 274.880 comsetup.log
11.07.2007 16:42 166.660 ntdtcsetup.log
11.07.2007 16:42 1.374 imsins.log
11.07.2007 16:42 311.840 tsoc.log
11.07.2007 16:42 44.739 ocmsn.log
11.07.2007 16:42 12.391 KB936357.log
11.07.2007 16:42 399.640 ocgen.log
11.07.2007 16:42 40.426 msgsocm.log
11.07.2007 16:42 791.052 FaxSetup.log
12.06.2007 21:33 1.374 imsins.BAK
12.06.2007 21:33 18.274 KB933566.log
12.06.2007 21:33 51.291 updspapi.log
12.06.2007 21:32 11.792 KB929123.log
12.06.2007 21:32 11.152 KB935840.log
12.06.2007 21:29 11.102 KB935839.log

temp.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 70E5-FFA6

Verzeichnis von C:\WINDOWS\Temp

17.07.2007 15:31 409 WGANotify.settings
17.07.2007 15:30 255 WGAErrLog.txt
16.07.2007 22:09 0 Upd50.tmp
15.07.2007 19:24 0 Upd4F.tmp
14.07.2007 16:23 0 Upd4E.tmp
13.07.2007 16:21 0 Upd4D.tmp
12.07.2007 16:21 0 Upd4C.tmp
11.07.2007 16:42 6.907 NetFxUpdate_v1.1.4322.log
11.07.2007 16:39 25.852 netfxsl.log
11.07.2007 16:20 0 Upd4B.tmp
10.07.2007 16:20 0 Upd4A.tmp
09.07.2007 16:20 0 Upd48.tmp
08.07.2007 12:56 0 Upd47.tmp
06.07.2007 17:50 0 Upd46.tmp
05.07.2007 17:50 0 Upd45.tmp
04.07.2007 16:19 0 Upd44.tmp
03.07.2007 16:19 0 Upd43.tmp
02.07.2007 15:24 0 Upd42.tmp
01.07.2007 15:16 0 Upd41.tmp
30.06.2007 15:16 0 Upd40.tmp
29.06.2007 14:34 0 Upd3E.tmp
24.06.2007 23:58 0 Upd3D.tmp
23.06.2007 23:19 0 Upd3C.tmp
22.06.2007 18:56 0 Upd3F.tmp
21.06.2007 18:56 0 Upd3A.tmp
20.06.2007 18:56 0 Upd39.tmp
19.06.2007 18:56 0 Upd38.tmp
18.06.2007 18:56 0 Upd37.tmp
17.06.2007 16:05 0 Upd36.tmp
16.06.2007 12:02 0 Upd35.tmp
15.06.2007 12:02 0 Upd34.tmp
14.06.2007 00:00 0 Upd32.tmp
13.06.2007 00:00 0 Upd2F.tmp
12.06.2007 00:00 0 Upd3B.tmp

down.txt
02.08.2005 als letztes datum also nicht relevant !?

c.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 70E5-FFA6

Verzeichnis von C:\

17.07.2007 15:38 0 sys.txt
17.07.2007 15:38 938 down.txt
17.07.2007 15:37 12.589 temp.txt
17.07.2007 15:37 12.164 windows.txt
17.07.2007 15:36 133 systemtemp.txt
17.07.2007 15:35 96.514 system32.txt
17.07.2007 15:30 267.964.416 hiberfil.sys
17.07.2007 15:30 2.097.152.000 pagefile.sys
17.07.2007 15:27 145 Verknpfung mit CD-Laufwerk.lnk
17.07.2007 15:00 2.781 rapport1.txt
17.07.2007 14:59 1.958 rapport.txt

danke für deine bemühungen

mmk · 17.07.2007, 14:51

Code:

ATTFilter

C:\WINDOWS\system32\onljweo.dll

Prüf bitte diese Datei bei Virustotal, und poste hier dann die vollständige Ergebnisliste.

sfranzl · 17.07.2007, 15:06

onljweo.dll

Antivirus Version Last Update Result

AhnLab-V3 2007.7.14.0 2007.07.17 no virus found
AntiVir 7.4.0.42 2007.07.17 no virus found
Authentium 4.93.8 2007.07.17 no virus found
Avast 4.7.997.0 2007.07.16 no virus found
AVG 7.5.0.476 2007.07.16 no virus found
BitDefender 7.2 2007.07.17 no virus found
CAT-QuickHeal 9.00 2007.07.16 no virus found
ClamAV devel-20070416 2007.07.17 Trojan.Small-3149
DrWeb 4.33 2007.07.17 no virus found
eSafe 7.0.15.0 2007.07.16 no virus found
eTrust-Vet 30.8.3789 2007.07.17 no virus found
Ewido 4.0 2007.07.17 no virus found
FileAdvisor 1 2007.07.17 no virus found
Fortinet 2.91.0.0 2007.07.17 no virus found
F-Prot 4.3.2.48 2007.07.17 no virus found
Ikarus T3.1.1.8 2007.07.17 no virus found
Kaspersky 4.0.2.24 2007.07.17 no virus found
McAfee 5075 2007.07.16 no virus found
Microsoft 1.2704 2007.07.17 no virus found
NOD32v2 2402 2007.07.17 Win32/Hoax.Renos.NBY
Norman 5.80.02 2007.07.17 no virus found
Panda 9.0.0.4 2007.07.17 no virus found
Sophos 4.19.0 2007.07.16 no virus found
Sunbelt 2.2.907.0 2007.07.16 Trojan.FakeAlert
Symantec 10 2007.07.17 Downloader
TheHacker 6.1.7.148 2007.07.16 no virus found
VBA32 3.12.2 2007.07.16 no virus found
VirusBuster 4.3.23:9 2007.07.16 no virus found
Webwasher-Gateway 6.0.1 2007.07.17 Win32.UPXpacked.gen!94 (suspicious)

Aditional information
File size: 8704 bytes
MD5: d3eb500a60b0d7823a7202f902bbe638
SHA1: ab97ced5bd0190010373eb1c9cfd8a8f640beff2
packers: UPX
packers: UPX
packers: UPX
Sunbelt info: Trojan.FakeAlert consists of files that cause false warnings of spyware on the computer. Usually the alerts are displayed in a balloon type pop-up from an icon in the system tray.

das ist das vollständige ergebnis

sieht ja nicht so prickelnd aus !?

mmk · 17.07.2007, 15:29

Zitat:

Zitat von sfranzl

das ist das vollständige ergebnis

sieht ja nicht so prickelnd aus !?

Das Infektionslage des Systems, lieber Franz, ist ohnehin nicht prickelnd. Schlichtweg deswegen, weil man mit Installation eines Schädlings im Prinzip die Kontrolle an unbekannte Dritte abgibt.

A.) Beende etwaige andere Arbeiten am PC.

B.) Lade Dir Killbox: KillBox.Net

C.) Klick dort auf "Download KillBox" und speichere die dann geladene
Datei KillBox.exe in einem extra Ordner, den Du z.B. unter "Eigene
Dateien" neu anlegst. Diesen Ordner nennst Du z.B. "Analyse". Trenne die Internetverbindung.

D.) Führe "KillBox.exe" aus.

E.) Setze im sich öffnenden kleinen KillBox-Fenster den Punkt links auf
"Delete on Reboot".

F.) Jetzt wird rechts davon der Button "AllFiles" anklickbar. Klick darauf.

G.) Kopiere nun aus diesem Posting diesen einen Pfad (nicht mehr und
nicht weniger, nur diese eine Zeile, die hinter diesem Doppelpunkt folgt):

Code:

ATTFilter

C:\WINDOWS\system32\onljweo.dll

H.) Wechsele wieder zum KillBox-Fenster. Klick darin oben links auf
"File", dann "Paste from Clipboard".

I.) Klick nun in KillBox ganz rechts außen auf den roten Kreis mit dem
weißen Kreuz.

J.) Es kommt nun die Frage, ob das System neu gestartet werden soll.
Bestätige mit "Ja".

Melde Dich nach dem Neustart mit einem sodann erstellten neuen HijackThis-Logfile und einem neuen ersten Datfind-LogFile (die fünf folgenden LogFiles brauchen wir nicht neu) wieder.

sfranzl · 17.07.2007, 15:46

Logfile of HijackThis v1.99.1
Scan saved at 16:42:21, on 17.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Mixer.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb03.exe
C:\Programme\BenQ\QMusic2\QMAgent.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\hijack\hijackthis\HijackThis.exe

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQ\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [QMusic] C:\Programme\BenQ\QMusic2\QMAgent.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\AutoCAD 2002 Deu\InstFred.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1103813990234
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD 2002 Deu\InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcPreview.ocx
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: InterBaseGuardian - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\IBGuard.EXE
O23 - Service: InterBaseServer - Inprise Corporation - C:\PROGRA~1\Borland\INTERB~1\Bin\ibserver.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

system32.txt
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 70E5-FFA6

Verzeichnis von C:\WINDOWS\system32

17.07.2007 16:41 13.646 wpa.dbl
17.07.2007 16:40 25.065 wmpscheme.xml
17.07.2007 14:58 0 tmp.txt
17.07.2007 14:58 2.686 tmp.reg
28.06.2007 09:57 16.256.984 MRT.exe
28.05.2007 12:08 191.384 FNTCACHE.DAT
16.05.2007 17:11 683.520 inetcomm.dll

mmk · 17.07.2007, 15:53

Für den Moment sieht das gar nicht mal so schlecht aus. Ich sage Dir aber gleich, dass ich ein Neuaufsetzen des Systems in der Konsequenz für die sicherste und daher empfehlenswerteste Lösung halte!

Nun kannst Du Dich etwas informieren und auf Schwachstellensuche gehen:

Findet Kaspersky vielleicht noch irgendwelche Exploits im Chache, die auf Lücken hinweisen könnten? Das geht so:

1.) Beende - vorerst auch für künftige Neustarts - den lokal laufenden Virenscanner. Er muss zunächst inaktiv bleiben, damit es beim Scan unter Punkt 2 keine Konflikte gibt.

2.) Nutze nun Kaspersky (mit dem IE, oberen Button, Kaspersky Online Scanner), um Dein System komplett durchzuscannen. Dazu musst Du im IE erst einige Active-X-Steuerelemente bestätigen, dann folgt das Laden des Scannermoduls und der Signaturen.

Wenn das durch ist, klick auf "Weiter".

Dann erscheint eine mit einem dünnen grauen Rahmen umrandete Auswahlliste mit der Überschrift "Bitte wählen Sie ein Untersuchungsobjekt aus". Unten rechts davon ist ein Button "Scan-Einstellungen". Ändere dort im Bereich AntiViren-Datenbanken die Auswahl von "Standard" zu "Erweiterte", darunter nimm den Haken bei Mail-Datenbanken raus, den anderen belasse.

Bestätige mit OK.

Jetzt klick im grau umrandeten Auswahlfehld auf "Arbeitsplatz", und es beginnt die systemweite Schädlingssuche. Das kann etwas dauern, also Geduld.

Speichere letztlich das Scanergebnis in einer txt-Datei ab ("Protokoll speichern als"), und poste deren Inhalt hier.

Im nächsten Schritt führst Du diesen Scan aus:
Prüfung installierter Software auf Aktualität: Secunia Software Inspector

Auch diese Ergebnisse teilst Du hier mit.

sfranzl · 17.07.2007, 16:09

ok, hast du eine ungefähre ahnung wie lange das dauern wird?
und warum sollte kaspersky etwas finden, obwohl es beim virustotal test nicht einmal die durchsuchte datei als infiziert erkannt hat?

mmk · 17.07.2007, 16:13

Zitat:

Zitat von sfranzl

ok, hast du eine ungefähre ahnung wie lange das dauern wird?

Das hängt davon ab, wie viele Dateien Du auf Deinem System abgelegt und wie viele Programme Du installiert hast. Es kann aber im Extremfall auch ein paar Stunden dauern.

Zitat:

und warum sollte kaspersky etwas finden, obwohl es beim virustotal test nicht einmal die durchsuchte datei als infiziert erkannt hat?

Bitte genau lesen, ich schrieb:

Zitat:

Findet Kaspersky vielleicht noch irgendwelche Exploits im Chache, die auf Lücken hinweisen könnten?

Windows Safety Alert - Trojaner geatarnt als Virusprogramm?

Plagegeister aller Art und deren Bekämpfung: Windows Safety Alert - Trojaner geatarnt als Virusprogramm?