hey !
hab seit gestern abend folgendes Problem :
in der taskleiste blinkt blau / rot das schild mit einer System Alert warnung !
desweiteren aktiviert sich mein virusprotect pro 3.6 (wußte gar nich ,dass ich das habe )

nun virusprotectpro zeigt mit 13 viren/trojaner etc an.
hab mich schonmal ein wenig durchgelesen und poste euch meinen HijackThis log :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:28:02, on 12.08.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Security Tools\iesmn.exe
C:\WINDOWS\Dit.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Security Tools\iesmin.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\VirusHeal 3.9\VirusHeal 3.9.exe
C:\Programme\VirusProtectPro 3.6\VirusProtectPro 3.6.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Martin\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {34E6F97C-34E0-4CE5-B92B-F83634BEDC01} - C:\Programme\Security Tools\iesplg.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [VirusHeal 3.9] "C:\Programme\VirusHeal 3.9\VirusHeal 3.9.exe" /h
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - HKLM\..\Policies\Explorer\Run: [user32.dll] C:\Programme\Security Tools\iesmn.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday Control) - file://C:\Programme\AutoCAD 2002\AcDcToday.ocx
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - h**p://as.photoprintit.de/ips-opdata/layout/default01/activex/IPSUploader4.cab
O16 - DPF: {AE563720-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD 2002\InstBanr.ocx
O16 - DPF: {C6637286-300D-11D4-AE0A-0010830243BD} (InstaFred) - file://C:\Programme\AutoCAD 2002\InstFred.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview Control) - file://C:\Programme\AutoCAD 2002\AcPreview.ocx
O22 - SharedTaskScheduler: heterostyly - {cd0e4a1a-dbc2-48f7-9a6a-a41cac20bddc} - C:\WINDOWS\System32\fqdqs.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

--
End of file - 4728 bytes


------------------------------------

ich hoffe ihr könnt damit mehr anfangen als ich bzw ich bin mir sicher dass ihr das könnt :-)

vielen dank im vorraus !

gruß martin

Hallo.

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Sorry, aber deinem System fehlen jegliche Updates! Da macht eine Bereiniung fast schon keinen Sinn mehr. Hast du eine direkte Verbindung zum Internet oder hängst du hinter einem Router?

C:\Programme\Security Tools\iesmn.exe
C:\Programme\Security Tools\iesmin.exe
C:\Programme\Security Tools\iesplg.dll
C:\Programme\VirusHeal 3.9\VirusHeal 3.9.exe
C:\Programme\VirusProtectPro 3.6\VirusProtectPro 3.6.exe
C:\WINDOWS\System32\fqdqs.dll

Versuch dennoch mal diese Dateien bei Virustotal auszuwerten, poste alle Ergebnisse.

ich bin hinter einem router
hab auch sonst keine probleme mit viren....
nur gestern irgendwas falsches gedownloaded

was meinst du denn mit bei virustotal auswerten ?
VirusTotal

wenn ja ...wo da ?


gruß martin

Virustotal => VirusTotal - Free Online Virus and Malware Scan
Kopiere dort den Dateipfad mit copy & paste rein und klick dann auf "senden der datei"

Zitat:

ich bin hinter einem router

Das ist ein deutlicher Sicherheitsgewinn, denn der Router hat dich vor Netzwerkwürmern geschützt - ein (unkonfiguriertes) Windows XP ohne SP2 fängt sich bei einer Direktverbindung zum Internet sehr schnell Netzwerkwürmer ein.

Sieh zu, dass das SP2 so schnell wie möglich raufkommt, aber erst wenn die Schädlingsdateien weg sind. Das folgt noch nachher....erstmal wollen wir wissen, welche Schädlinge das sind, ich tippe aber auf Zlob/Smitfraud. Hast du dir vor einiger Zeit einen angeblichen Codec installiert?

so ! hier die ergebnisse :

C:\Programme\Security Tools\iesmn.exe
Ergebnis:

-> Avast 4.7.1029.0 2007.08.12 Win32:Zlob-ABC
BitDefender 7.2 2007.08.12 Trojan.Downloader.Zlob.AFH
ClamAV 0.91 2007.08.12 Trojan.Zlob-117
Microsoft 1.2704 2007.08.12 TrojanDownloader:Win32/Zlob.gen!A
Panda 9.0.0.4 2007.08.12 Adware/VideoActiveXObject
Prevx1 V2 2007.08.12 Generic.Dropper.xCodec
Rising 19.35.62.00 2007.08.12 Trojan.DL.Win32.Zlob.cdc
Symantec 10 2007.08.12 Trojan.Zlob

weitere Informationen
File size: 29696 bytes
MD5: 13afc56e7288062864047da9f24652d8
SHA1: 1bbd840c2783c78b4b84b75cc3119a59e772bc43
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=B4FED3D600EEC7DA746400F9A93E5D002FAC033A

C:\Programme\Security Tools\iesmin.exe

-> Ergebnis

BitDefender 7.2 2007.08.12 Trojan.Downloader.Zlob.AFH
eSafe 7.0.15.0 2007.08.10 suspicious Trojan/Worm
Prevx1 V2 2007.08.12 Generic.Dropper.xCodec
Rising 19.35.62.00 2007.08.12 Trojan.DL.Win32.Zlob.cdc
Webwasher-Gateway 6.0.1 2007.08.12 Win32.ModifiedUPX.gen!90 (suspicious)

weitere Informationen
File size: 5632 bytes
MD5: a45694c6d0429d736e5fa50fdd660a5c
SHA1: 86b523e7ad710f6886cf63ecf1fc9e7f62016d54
packers: UPX
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=A4254F4C00C744061606000A9866F800ADE4F5D7


C:\Programme\Security Tools\iesplg.dll
---> Ergebnis

Avast 4.7.1029.0 2007.08.12 Win32:Zlob-ABC
BitDefender 7.2 2007.08.12 Trojan.Downloader.Zlob.BEF
CAT-QuickHeal 9.00 2007.08.11 Trojan.Zlob.gen
ClamAV 0.91 2007.08.12 Trojan.Zlob-117
Panda 9.0.0.4 2007.08.12 Adware/VideoActiveXObject
Prevx1 V2 2007.08.12 Generic.Dropper.xCodec
Rising 19.35.62.00 2007.08.12 Trojan.DL.Win32.Zlob.cdc
Symantec 10 2007.08.12 Trojan.Zlob


weitere Informationen
File size: 11776 bytes
MD5: 1a924ca1ff7d951e5b693878e969d53f
SHA1: 4a24fe107d2a7d49bc2e9bb9f68e54b826ad629f
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=A466CB5D00A43E802E580038701EEA005EC3F60F

C:\Programme\VirusHeal 3.9\VirusHeal 3.9.exe
--> Ergebnis

Avast 4.7.1029.0 2007.08.12 Win32:Spycrush
Panda 9.0.0.4 2007.08.12 Suspicious file
Prevx1 V2 2007.08.12 VirusHeal:Spyware-All Variants
Symantec 10 2007.08.12 VirusHeal
Webwasher-Gateway 6.0.1 2007.08.12 Virus.Win32.FileInfector.gen (suspicious)

weitere Informationen
File size: 2256896 bytes
MD5: f199eb53ae2ae730de65ad5a563f9d3c
SHA1: 05ca8bfde6bc43028a647f74cf137e2f3f322543
packers: Armadillo
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?
PX5=03AED6BD0004AB9C702A22FE08DC91007077F5CE

C:\Programme\VirusProtectPro 3.6\VirusProtectPro 3.6.exe
--> Ergebnis

Fortinet 2.91.0.0 2007.08.12 Misc/VirusProtectPro
Ikarus T3.1.1.12 2007.08.12 Application.Win32.AdWare.VirusProtectPro
Kaspersky 4.0.2.24 2007.08.12 not-a-virus:FraudTool.Win32.VirusProtectPro.e
McAfee 5095 2007.08.10 potentially unwanted program VirusProtectpro
Microsoft 1.2704 2007.08.12 Program:Win32/VirusProtectpro
Panda 9.0.0.4 2007.08.12 Adware/VirusProtectPro
Prevx1 V2 2007.08.12 VirusProtectPro:Spyware-All Variants
VBA32 3.12.2.2 2007.08.11 Application.Win32.Adware.VirusProtectPro
Webwasher-Gateway 6.0.1 2007.08.12 Riskware.Fake.VirusProte


weitere Informationen
File size: 1802240 bytes
MD5: db06ec940b1009b77b1946e8215f10dc
SHA1: a5b98765a67eff96b3b685267f197d17036a6b19
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=EDBC84420018B28B80911B2B0E268000439F18E1

C:\WINDOWS\System32\fqdqs.dll
---> Ergebnis

Prevx1 V2 2007.08.12 Generic.Malware

weitere Informationen
File size: 12288 bytes
MD5: 73d737076b5cb74c717d68b40872ce1c
SHA1: 9c52582444f3dd84818cb7c90c4489e75a2ee606
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=39FC4DC1004ED78E308A0021A2F34000060A477C


so wenn du noch was brauchen solltest sag ruhig bescheid !

danke !

Du hast schon mal mindestens den Zlob drin, folge dieser Anleitung.

Poste danach ein neues HJT-Logfile, sowie eins von datfind.bat in der Anleitung erwähnt. Alternativ geht auch filelist (also entweder filelist ODER datfind, ich würde die aber filelist empfehlen)

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp