immer wieder Downloader in C:\\Windows\temp files

Zettinator · 29.09.2007, 10:29

Liebes Trojaner Board Team und Trojaner Board User

Ich wollte mir vor kurzer Zeit Nero 7. irgendwas installieren. Doch am Anfang kam so ein komisches Fenst, welches mir mehrere Dateien in den besagten Ordner installierte. Symantec Antivir findet diese löscht sie, jedoch nach wenigen Sekunden kommen neue Downloader Warnungen.

die Dateien heißen meistens C:\\Windows\temp Files\Bit... .tmp

Ich habe schon Virenchecker wie Ad Aware und eben Symantec AntiVir durchlaufen lassen, ohne Erfolg. Er hat zwar die Dateien erkantn im Temp Ordner doch auch dieses Mal warn sie nach kurzer Zeit wieder da.

Logfile of HijackThis v1.99.1
Scan saved at 11:08:43, on 29.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec AntiVirus\DefWatch.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Symantec AntiVirus\SavRoam.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Symantec AntiVirus\Rtvscan.exe
C:\Programme\Sony\VAIO Event Service\VESMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\PROGRA~1\SYMANT~1\VPTray.exe
C:\Programme\Sony\ISB Utility\ISBMgr.exe
C:\Programme\Sony\VAIO Power Management\SPMgr.exe
C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Rainlendar2\Rainlendar2.exe
C:\Programme\T-Mobile\webnwalk Manager\webnwalkmanager.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Zett.JIB-374EB6AC3BE\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = httpwww.hak-neusiedl.at]Handelsakademie und Handelsschule Neusiedl am See
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080
R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programme\Macrogaming\SweetIMBarForIE\toolbar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\VPTray.exe
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Programme\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [VAIOCameraUtility] "C:\Programme\Sony\VAIO Camera Utility\VCUServe.exe"
O4 - HKLM\..\Run: [SonyPowerCfg] "C:\Programme\Sony\VAIO Power Management\SPMgr.exe"
O4 - HKLM\..\Run: [Switcher.exe] C:\Programme\Sony\Wireless Switch Setting Utility\Switcher.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] D:\Spiele\Steam.exe -silent
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: web'n'walk Manager.lnk = C:\Programme\T-Mobile\webnwalk Manager\webnwalkmanager.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_httpwww.hak-neusiedl.at
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - httpwww.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - httpcdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hak-neusiedl.local
O17 - HKLM\Software\..\Telephony: DomainName = hak-neusiedl.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = hak-neusiedl.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = hak-neusiedl.local
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Programme\Symantec AntiVirus\DefWatch.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: SAVRoam (SavRoam) - symantec - C:\Programme\Symantec AntiVirus\SavRoam.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Programme\Symantec AntiVirus\Rtvscan.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Programme\Sony\VAIO Event Service\VESMgr.exe

Muss ich nun meinen Computer neu aufsetzen oder gibt es noch Hilfe!
Wie Edit Klinger einmal sagte: BITTE BITTE BITTE nehmt euch meines Problemes an!

.::|||::. · 29.09.2007, 10:38

Zitat:

Zitat von Zettinator

Ich wollte mir vor kurzer Zeit Nero 7. irgendwas installieren. Doch am Anfang kam so ein komisches Fenst, welches mir mehrere Dateien in den besagten Ordner installierte. Symantec Antivir findet diese löscht sie, jedoch nach wenigen Sekunden kommen neue Downloader Warnungen.

die Dateien heißen meistens C:\\Windows\temp Files\Bit... .tmp

Schreibe Bitte den Pfad aus: C:\\Windows\temp Files\Bit... .tmp
Eig. sollte sich in WINDOWS gar kein Ordner namens "temp Files" befinden, sondern nur einer mit namen "Temp".
Kannst du die Namen der Files in C:\Windows\temp Files\ bitte hier auflisten?
Dann sehen wir weiter.

IMO sieht dein Hijackthis-log eig. sauber aus.

Noch ne Frage, die Nero Version ist legal, oder? Oder wurde ein Crack oder Keygen mitgeliefert?

Sehr oft sind solche Files infiziert!
Mfg

Zettinator · 29.09.2007, 10:44

Zitat:

Zitat von .::|||::.

Schreibe Bitte den Pfad aus: C:\\Windows\temp
Noch ne Frage, die Nero Version ist legal, oder? Oder wurde ein Crack oder Keygen mitgeliefert?

Sehr oft sind solche Files infiziert!
Mfg

Ja, ein Freund meinte nur, er habe die neue Version und ich hab mir nichts daei gedacht und ich glaube er war gecrackt.

Und ja natürlich tut mir leid! Der Pfad:

alle 6 die er so eben gefunden hat:

C:\\Windows\TEMP\BIT7BA.tmp

C:\\Windows\TEMP\BIT7BE.tmp

C:\\Windows\TEMP\BIT7C2.tmp

C:\\Windows\TEMP\BIT7C6.tmp

C:\\Windows\TEMP\BIT7CA.tmp

C:\\Windows\TEMP\BIT7CE.tmp

Weitere 2 soeben gefundene:

C:\\Windows\TEMP\BIT7D2.tmp

C:\\Windows\TEMP\BIT7D6.tmp

.::|||::. · 29.09.2007, 10:49

Zitat:

Zitat von Zettinator

Ja, ein Freund meinte nur, er habe die neue Version und ich hab mir nichts daei gedacht und ich glaube er war gecrackt.

Spielt jetzt ja auch keine Rolle mehr... Lösch die Installationsdatei von Nero und alles andere was dazugehört (Crack/Keygen etc.)
Lade dir den CCleaner und bereinige dein System (sowohl die Temp Files, als auch die Registry), mache dann anschliessend einen eScan nach Anleitung (siehe Links in meiner Signatur) und poste das eScan-Log!
Mfg

Zettinator · 29.09.2007, 16:08

mein e-scan Teil:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.4.4
Sprache: German
Virus-Datenbank Datum: 9/28/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "ultimate cleaner Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen.
System found infected with elite toolbar Spyware/Adware (toolbar.exe)! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\system32\winhld32.dll//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\rqrsqqr.dll infiziert von "Trojan-Downloader.Win32.Agent.dlu" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\rqrsqqr.dll infiziert von "Trojan-Downloader.Win32.Agent.dlu" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\rqrsqqr.dll infiziert von "Trojan-Downloader.Win32.Agent.dlu" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\winhld32.dll//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\rqrsqqr.dll infiziert von "Trojan-Downloader.Win32.Agent.dlu" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\winhld32.dll//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0C700001.VBN//CryptZ infiziert von "Trojan.Win32.Obfuscated.en" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Programme\Mozilla Firefox\keygen.exe//PE_Patch.UPX//UPX infiziert von "Trojan.Win32.Inject.fo" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\rqrsqqr.dll infiziert von "Trojan-Downloader.Win32.Agent.dlu" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\winhld32.dll//PE_Patch.PECompact//PecBundle//PECompact infiziert von "Trojan.Win32.Dialer.qn" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINFKT\WINFKT.EXE infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINFKT\WINFKTCA.EXE infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINFKT\WINFKTSI.EXE infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINFKT\WINFKTSS.EXE infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\WINFKT\WINFKT.EXE infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\WINFKT\WINFKTCA.EXE infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\WINFKT\WINFKTSI.EXE infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei D:\WINFKT\WINFKTSS.EXE infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\DOKUME~1\ZETT~2.JIB\LOKALE~1\Temp\NeroDemo12071\Toolbar.exe markiert als "not-a-virus:AdTool.Win32.MyWebSearch". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0C700000.VBN//CryptZ//PE_Patch.UPX//UPX markiert als "not-a-virus:FraudTool.Win32.UltimateDefender.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0C700002.VBN//CryptZ//PE_Patch.UPX//UPX markiert als "not-a-virus:FraudTool.Win32.UltimateDefender.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0C700003.VBN//CryptZ//PE_Patch.UPX//UPX markiert als "not-a-virus:FraudTool.Win32.UltimateDefender.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0C700004.VBN//CryptZ//PE_Patch.UPX//UPX markiert als "not-a-virus:FraudTool.Win32.UltimateDefender.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0C700005.VBN//CryptZ markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\Symantec\Symantec AntiVirus Corporate Edition\7.5\Quarantine\0C700006.VBN//CryptZ markiert als "not-a-virus:AdWare.Win32.Virtumonde.jp". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\Zett.JIB-374EB6AC3BE\Lokale Einstellungen\Temp\NeroDemo12071\Toolbar.exe markiert als "not-a-virus:AdTool.Win32.MyWebSearch". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\Zett.JIB-374EB6AC3BE\Lokale Einstellungen\temp\nerodemo12071\toolbar.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Zett.JIB-374EB6AC3BE\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\Zett.JIB-374EB6AC3BE\Anwendungsdaten\ultimate cleaner
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCR\magnet !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1f6a3238-a78c-11db-9d59-0013a948db85} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e7198900-1c3f-11dc-9ede-0013a948db85} !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Executable Command Found in {e7198900-1c3f-11dc-9ede-0013a948db85}\Shell\Autoplay\DropTarget\AutoRun\command: C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL webnwalkmanager.msi AUTORUN=1
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\DOKUME~1\ZETT~2.JIB\LOKALE~1\Temp\NeroDemo12071\Cab\4B24CC45.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Zett\Lokale Einstellungen\Temp\GLBAF7.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Zett.JIB-374EB6AC3BE\Lokale Einstellungen\Temp\NeroDemo12071\Cab\4B24CC45.cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\installationsdateien\cbsetup.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 115922
Gefundene Viren: 35
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 152
Dauer des Scans bisher: 01:10:27
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 17:04:49,01
Batchende: 17:04:59,98

.::|||::. · 30.09.2007, 09:59

Hmmm...
Dein eScan-Log weist die üblichen Fehlalarme auf, was mich stutzig macht sind jedoch files wie diese:

Zitat:

C:\WINDOWS\system32\rqrsqqr.dll
C:\WINDOWS\system32\winhld32.dll
C:\Programme\Mozilla Firefox\keygen.exe

Ich weiss nicht mehr so recht wies weitergehen soll...

Kannst du Bitte noch einen Scan mit Blacklight machen und das Log posten?
Und hast du den CCleaner schon drübergelassen, mache es bitte nochmal und bereinige auch die Registry!
Ich hoffe doch, das sich noch ein Experte den Thread anschaut!
Mfg

nochdigger · 30.09.2007, 10:29

Hallo

mach mal alle versteckten Dateien und Ordner sichtbar.

Zitat:

Zitat von .::|||::.

Und hast du den CCleaner schon drübergelassen, mache es bitte nochmal und bereinige auch die Registry!

Ja mach das mal --> Ccleaner

Zitat:

Lade dir das Tool hier herunter -> KLICK

eben so

Zitat:

Lade dir dieses Tool -> SmitfraudFix

und auch

Zitat:

Lade dir vundofix.exe

bitte die Tools noch nicht laufen lassen lass zuerst diese Dateien :

Zitat:

Zitat von .::|||::.

Zitat:

C:\WINDOWS\system32\rqrsqqr.dll
C:\WINDOWS\system32\winhld32.dll
C:\Programme\Mozilla Firefox\keygen.exe

nochmal hier Virustotal
hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 33 AntiVirus Engine, Last Update(070917)
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

Zettinator · 30.09.2007, 16:51

ok jetzt ists tot, wollte mit vundo diese rq bla bla bla datei entfernen, jetzt sagta a ma immer, dass die lsass Datei ned geht...

.::|||::. · 01.10.2007, 14:32

Zitat:

Zitat von Zettinator

ok jetzt ists tot, wollte mit vundo diese rq bla bla bla datei entfernen, jetzt sagta a ma immer, dass die lsass Datei ned geht...

Was ist tot?
Poste die genaue Fehlermeldung!
Hast du den Vondofix nach Anleitung gemacht?
Mfg

Zettinator · 01.10.2007, 18:11

ALSO ... die Datei halt diese rq.... hat mir jetzt Windows verprügelt und Windows hat schlapp gemacht. Mein Schulcomputerbetreuer meinte ich solle Windows reparieren, ich bin jetzt im Menü gegangen auf Windows neu installieren ohne neu aufsetzen. Frage an euch, soll ich jetzt alle wichtigen Dateien sichern und dann den Laptop komplett neu aufsetzen oder reicht dieser Schritt fürs erste???

Die Fehlermeldung war: llsass.exe kann nicht ausgeführt werden.

das Registry löschen hat gebracht, dass nicht mehr die Viren in TEMP gekommen sind.

Wie handle ich nun weiter?

Virustotal:
Reihung:
C:\WINDOWS\system32\rqrsqqr.dll
C:\WINDOWS\system32\winhld32.dll
C:\Programme\Mozilla Firefox\keygen.exe

Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.29.0 2007.09.28 Win-Trojan/Agent.44054
AntiVir 7.6.0.18 2007.09.28 TR/Vundo.Gen
Authentium 4.93.8 2007.09.29 -
Avast 4.7.1043.0 2007.09.29 -
AVG 7.5.0.488 2007.09.30 Downloader.Agent.SQK
BitDefender 7.2 2007.09.30 Trojan.Virtumonde.IL
CAT-QuickHeal 9.00 2007.09.29 TrojanDownloader.Agent.dlu
ClamAV 0.91.2 2007.09.30 -
DrWeb 4.33 2007.09.30 -
eSafe 7.0.15.0 2007.09.29 Suspicious Trojan/Worm
eTrust-Vet 31.2.5174 2007.09.30 Win32/Chisyne!generic
Ewido 4.0 2007.09.30 -
FileAdvisor 1 2007.09.30 -
Fortinet 3.11.0.0 2007.09.30 W32/Agent.DLU!tr.dldr
F-Prot 4.3.2.48 2007.09.29 -
F-Secure 6.70.13030.0 2007.09.29 Trojan-Downloader.Win32.Agent.dlu
Ikarus T3.1.1.12 2007.09.30 not-a-virus:AdWare.Win32.Virtumonde.jp
Kaspersky 7.0.0.125 2007.09.30 Trojan-Downloader.Win32.Agent.dlu
McAfee 5130 2007.09.28 Downloader.gen.a
Microsoft 1.2803 2007.09.30 Trojan:Win32/ConHook.B
NOD32v2 2560 2007.09.30 -
Norman 5.80.02 2007.09.28 W32/Vundo.dam
Panda 9.0.0.4 2007.09.30 Spyware/Virtumonde
Prevx1 V2 2007.09.30 -
Rising 19.42.61.00 2007.09.30 -
Sophos 4.22.0 2007.09.30 Virtumundo
Sunbelt 2.2.907.0 2007.09.28 Virtumonde
Symantec 10 2007.09.30 Adware.VirtuMonde
TheHacker 6.2.6.073 2007.09.28 Trojan/Downloader.Agent.dlu
VBA32 3.12.2.4 2007.09.30 Trojan-Downloader.Win32.Agent.dlu
VirusBuster 4.3.26:9 2007.09.29 Trojan.DL.Vundo.R
Webwasher-Gateway 6.0.1 2007.09.28 Trojan.Vundo.Gen
weitere Informationen
File size: 44054 bytes
MD5: 67f2bcd4263ff4f61764f600aeca8047
SHA1: 22dbb92a66d394660068ee7ace3a140dd87f2d4c
packers: PecBundle, PECompact
Sunbelt info: Virtumonde is an adware program that displays pop-up advertisements on the desktop. Virtumonde also downloads other software from various remote servers.

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.29.0 2007.09.28 -
AntiVir 7.6.0.18 2007.09.28 TR/Crypt.PEC2X.Gen
Authentium 4.93.8 2007.09.29 -
Avast 4.7.1043.0 2007.09.29 -
AVG 7.5.0.488 2007.09.30 Dialer.NLH
BitDefender 7.2 2007.09.30 -
CAT-QuickHeal 9.00 2007.09.29 -
ClamAV 0.91.2 2007.09.30 -
DrWeb 4.33 2007.09.30 -
eSafe 7.0.15.0 2007.09.29 Suspicious Trojan/Worm
eTrust-Vet 31.2.5174 2007.09.30 -
Ewido 4.0 2007.09.30 -
FileAdvisor 1 2007.09.30 -
Fortinet 3.11.0.0 2007.09.30 W32/Nebule.QN!tr
F-Prot 4.3.2.48 2007.09.29 -
F-Secure 6.70.13030.0 2007.09.29 Trojan.Win32.Dialer.qn
Ikarus T3.1.1.12 2007.09.30 Trojan.Win32.Agent.qt
Kaspersky 7.0.0.125 2007.09.30 Trojan.Win32.Dialer.qn
McAfee 5130 2007.09.28 BackDoor-CVT
Microsoft 1.2803 2007.09.30 Trojan:Win32/Adialer.OP
NOD32v2 2560 2007.09.30 -
Norman 5.80.02 2007.09.28 -
Panda 9.0.0.4 2007.09.30 Suspicious file
Prevx1 V2 2007.09.30 Trojan.Vundo
Rising 19.42.61.00 2007.09.30 -
Sophos 4.22.0 2007.09.30 Troj/Nebule-Gen
Sunbelt 2.2.907.0 2007.09.28 VIPRE.Suspicious
Symantec 10 2007.09.30 Trojan.Nebuler
TheHacker 6.2.6.073 2007.09.28 -
VBA32 3.12.2.4 2007.09.30 -
VirusBuster 4.3.26:9 2007.09.29 -
Webwasher-Gateway 6.0.1 2007.09.28 Trojan.Crypt.PEC2X.Gen
weitere Informationen
File size: 20992 bytes
MD5: aec1594d272b3760c0f3899f169b77d6
SHA1: bfcff81d0690c5af2333e18475702f79686f2afc
packers: PECOMPACT
packers: PecBundle, PECompact
packers: PE_Patch.PECompact, PecBundle, PECompact
Prevx info: WINTFJ32.DLL, Prevx
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.29.0 2007.09.28 -
AntiVir 7.6.0.18 2007.09.28 TR/Crypt.XPACK.Gen
Authentium 4.93.8 2007.09.29 -
Avast 4.7.1043.0 2007.09.29 Win32:LoadAdv-I
AVG 7.5.0.488 2007.09.30 Downloader.Generic6.KYH
BitDefender 7.2 2007.09.30 BehavesLike:Win32.AV-Killer
CAT-QuickHeal 9.00 2007.09.29 Trojan.Inject.fo
ClamAV 0.91.2 2007.09.30 Trojan.Small-3588
DrWeb 4.33 2007.09.30 Trojan.Inject.424
eSafe 7.0.15.0 2007.09.29 suspicious Trojan/Worm
eTrust-Vet 31.2.5174 2007.09.30 Win32/Harnig!generic
Ewido 4.0 2007.09.30 -
FileAdvisor 1 2007.09.30 -
Fortinet 3.11.0.0 2007.09.30 W32/Dowadv.B!tr.dldr
F-Prot 4.3.2.48 2007.09.29 -
F-Secure 6.70.13030.0 2007.09.29 Trojan.Win32.Inject.fo
Ikarus T3.1.1.12 2007.09.30 Trojan-Downloader.LoadAdv.B
Kaspersky 7.0.0.125 2007.09.30 Trojan.Win32.Inject.fo
McAfee 5130 2007.09.28 Downloader-AWM.gen
Microsoft 1.2803 2007.09.30 -
NOD32v2 2560 2007.09.30 a variant of Win32/TrojanDownloader.Small.NUS
Norman 5.80.02 2007.09.28 W32/Downloader
Panda 9.0.0.4 2007.09.30 -
Prevx1 V2 2007.09.30 Malware.Gen
Rising 19.42.61.00 2007.09.30 -
Sophos 4.22.0 2007.09.30 Mal/DowAdv-B
Sunbelt 2.2.907.0 2007.09.28 -
Symantec 10 2007.09.30 Downloader
TheHacker 6.2.6.073 2007.09.28 -
VBA32 3.12.2.4 2007.09.29 Trojan.Win32.Inject.fo
VirusBuster 4.3.26:9 2007.09.29 Trojan.DL.Loadadv.Gen.2
Webwasher-Gateway 6.0.1 2007.09.28 Trojan.Crypt.XPACK.Gen
weitere Informationen
File size: 8192 bytes
MD5: 70ecaa67839fab2766efa97152062a37
SHA1: 8c93bc6b0b63e16ec707de145feabfe0cc69d985
packers: UPX
packers: UPX
packers: UPX
packers: UPX
packers: PE_Patch.UPX, UPX
norman sandbox: [ General information ] * **IMPORTANT: PLEASE SEND THE SCANNED FILE TO: ANALYSIS@NORMAN.NO - REMEMBER TO ENCRYPT IT (E.G. ZIP WITH PASSWORD)**. * Decompressing UPX. * Creating several executable files on hard-drive. * File length: 8192 bytes. [ Changes to filesystem ] * Creates file C:\1814656820. * Creates file C:\mouuuvbh.exe. [ Network services ] * Opens URL: http://wanrzcvupf.hk/progs/gywye/kwyrkdv.php?adv=adv449. * Connects to \"wanrzcvupf.hk\" on port 80 (TCP). * Opens URL: wanrzcvupf.hk/progs/gywye/kwyrkdv.php. * Opens URL: http://wanrzcvupf.hk/progs/gywye/ehkms.php. * Opens URL: wanrzcvupf.hk/progs/gywye/ehkms.phphp. [ Security issues ] * Starting downloaded file - potential security problem. 
Prevx info: KEYGEN.EXE, Prevx

.::|||::. · 01.10.2007, 18:30

Zitat:

Die Fehlermeldung war: llsass.exe kann nicht ausgeführt werden.

Wenn es wirklich llsass.exe (mit 2 l wie Löwe) war, ist es gefährlich, die lsass.exe gehört zu Windows!

Zitat:

Zitat von Zettinator

Wie handle ich nun weiter?

Evt. hat Vundofix ja wirklich dein Sys zerschossen, dann wäre Neuaufsetzen inkl. Formatieren angesagt!
Wenn dann noch die llsass.exe dazukommt...
Kannst du nochmal ein Hijackthis-log posten? Vll. ist was dazugekommen seit dem letzten mal

Mfg

Zettinator · 01.10.2007, 23:07

Logfile of HijackThis v1.99.1
Scan saved at 00:01:43, on 02.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sony\VAIO Event Service\VESMgr.exe
C:\WINDOWS\explorer.exe
C:\Zett\Zett.JIB-374EB6AC3BE\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ISBMgr.exe] C:\Programme\Sony\ISB Utility\ISBMgr.exe
O4 - HKLM\..\Run: [VAIOCameraUtility] "C:\Programme\Sony\VAIO Camera Utility\VCUServe.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Shareaza] "C:\Programme\Shareaza\Shareaza.exe" -tray
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O20 - Winlogon Notify: VESWinlogon - C:\WINDOWS\SYSTEM32\VESWinlogon.dll
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: VAIO Event Service - Sony Corporation - C:\Programme\Sony\VAIO Event Service\VESMgr.exe

habe jetzt auch Firefox gelöscht, wo der Keygen drinnen war. Vundo Fix zeigt mir zurzeit nichts an. Morgn kommt Symantec und Zone Alarm drauf uuunnnddd Frage am Rande, welchen Internet Explorerer soll ich mir jetzt runterladen??? Ich hasse den Microsoft und Firefox mag ich jetzt auch nimma... Irgendwelche Empehlungen???

Todward · 02.10.2007, 13:49

also bei den internet exploreren bleibt dann nur noch opera übrig.

02.10.2007, 13:49	#13
Todward Gesperrt	$immer wieder Downloader in C:\\Windows\temp files - Standard$ immer wieder Downloader in C:\\Windows\temp files also bei den internet exploreren bleibt dann nur noch opera übrig.

immer wieder Downloader in C:\\Windows\temp files

Plagegeister aller Art und deren Bekämpfung: immer wieder Downloader in C:\\Windows\temp files