Hilfe bei photo.exe

fire_kilo · 31.10.2007, 23:49

Hallo zusammen,
Ich habe mir bei ICQ die Datei photo.exe eingefangen

Ich glaub die hat sich unteranderem auch in C:\WINDOWS\System32 eingenistet und zwar hab ich da folgende dateien gefunden:
mstafram.exe , kbdidpla.exe , kbdidpla.DAT , kbdidpla.dll und es gibt noch andere. Ich kann das mit meinem virenprogramm nicht löschen und weiss jetzt nich mehr weiter
Das ist mein HJT Log-File:

Logfile of HijackThis v1.99.1
Scan saved at 23:48:22, on 31.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\cisvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\AGEIA Technologies\TrayIcon.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Razer\razerhid.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Razer\razertra.exe
C:\Programme\Razer\razerofa.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\HiJackThis\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.t-online.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer bereitgestellt von T-Online
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: metaspinner GmbH - {84B94901-3645-4D80-A6B7-4D0050B19455} - C:\Programme\Preispiraten3\IEButtonAmazonInterface.dll (file missing)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\\NeroCheck.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [AGEIA PhysX SysTray] C:\Programme\AGEIA Technologies\TrayIcon.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [razer] C:\Programme\Razer\razerhid.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Photosmart Premier – Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten3\\preispiraten.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: http://www.slamajama.de
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1157142260156
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u1-windows-i586-jc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - AppInit_DLLs: toolx264.dll
O20 - Winlogon Notify: kbdidpla - C:\WINDOWS\system32\kbdidpla.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

Ich hoffe ihr könnt mir damit helfen
mfg fire_kilo

Cleriker · 01.11.2007, 11:01

Hi und

Herzlich WIllkommen im Trojaner-Board

in deinem Logfile kann ich die EInträge dazu nicht
finden. Mach folgendes:

* Dateien Online Überprüfen
(versteckte Ordner und Dateien anzeigen lassen)
1. Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:
2. Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
3. Geschützte Systemdateien ausblenden -> Haken weg
4. Inhalte von Systemordnern anzeigen -> Haken setzen
(diese Option ist bei Windows 2000 nicht vorhanden)
5. Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen
(Dateien online überprüfen)
6. lade die Seite von Virustotal (alternativ Jotti)
7. lade in der dafür vorgesehen Box folgende Datei(en) hoch

Zitat:

C:\WINDOWS\system32\kbdidpla.dll

8. Warte die Auswertung ab
9. Poste das komplett Ergebnis mit Hash und Dateigröße hier rein

* MWAV (eScan) - Free Antivirus
1. Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
2. Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)

mfg Cleriker

fire_kilo · 01.11.2007, 11:50

Hi, danke jetzt schon mal für deine Hilfe,
Das ist die Auswertung von C:\WINDOWS\system32\kbdidpla.dll bei virustotal:
Datei kbdidpla.dll_ empfangen 2007.11.01 11:36:46 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 13/32 (40.63%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.11.1.1 2007.11.01 Win32/Stration.worm.Gen
AntiVir 7.6.0.30 2007.10.31 -
Authentium 4.93.8 2007.10.31 W32/Warezov.gen4
Avast 4.7.1074.0 2007.10.31 Win32:Warezov-CRX
AVG 7.5.0.503 2007.11.01 I-Worm/Stration.FIP
BitDefender 7.2 2007.11.01 Generic.Stration.45733B19
CAT-QuickHeal 9.00 2007.10.31 -
ClamAV 0.91.2 2007.11.01 -
DrWeb 4.44.0.09170 2007.11.01 Win32.HLLM.Limar.2216
eSafe 7.0.15.0 2007.10.28 -
eTrust-Vet 31.2.5259 2007.11.01 -
Ewido 4.0 2007.10.31 -
FileAdvisor 1 2007.11.01 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.3.2.48 2007.10.31 W32/Warezov.gen4
F-Secure 6.70.13030.0 2007.11.01 -
Ikarus T3.1.1.12 2007.11.01 Virus.Win32.Warezov.CRX
Kaspersky 7.0.0.125 2007.11.01 -
McAfee 5153 2007.10.31 -
Microsoft 1.2908 2007.11.01 Trojan:Win32/Stration.F!dll
NOD32v2 2631 2007.11.01 Win32/Stration.AAZ
Norman 5.80.02 2007.10.31 W32/Stration.IAH
Panda 9.0.0.4 2007.11.01 -
Prevx1 V2 2007.11.01 -
Rising 20.16.31.00 2007.11.01 -
Sophos 4.23.0 2007.11.01 W32/Strati-Gen
Sunbelt 2.2.907.0 2007.10.31 -
Symantec 10 2007.11.01 -
TheHacker 6.2.9.110 2007.10.27 -
VBA32 3.12.2.4 2007.10.31 MalwareScope.Worm.Warezov.1
VirusBuster 4.3.26:9 2007.11.01 -
Webwasher-Gateway 6.6.1 2007.10.31 -
weitere Informationen
File size: 118784 bytes
MD5: da0a3027996e4e48cb0a7eef1d59975c
SHA1: b2f4aab8960d19f8e171f9d1835dac9065b699df

die Anleitung zu eScan les ich grad durch, des wollt ich schon mal rein posten
mfg fire_kilo

Cleriker · 01.11.2007, 12:32

Hier hätten wir also schon mal folgenden E-Mail-Wurm:
W32/Strati-Gen
Mal schauen, was der escan sagt....

fire_kilo · 01.11.2007, 13:35

ach du sch**** ich hab 6 viren und 68 Fehler drauf, nur plötzlich ist beim scan der escaner abgestürzt und jetzt kommt immer wenn ich ihn wider öffenen will die Meldung:

notepad.exe-Abbild fehlerhaft
Die Andwendung oder DLL C:\WINDOWS\system32\arotq5rc3.dll ist keine gültige Windows-Datei.Überprüfen sie dies mit der Installationsdiskette.
Ich hab keinen blassen Schimmer was das bedeutet, aber wahrscheinlich sind das auch die viren oder??....
mfg fire_kilo

Cleriker · 01.11.2007, 14:19

Dann überprof diese Datei bitte
ebenfalls mit Virustotal

Zitat:

C:\WINDOWS\system32\arotq5rc3.dll

Führe den escan anschließend im abgesicherten Modus
durch, falls du es noch nicht getan hast.

mfg Cleriker

fire_kilo · 01.11.2007, 16:02

Also bei der datei C:\WINDOWS\system32\arotq5rc3.dll kommt bei virustotal gar nichts raus und ich kann grad kein scan machen weil mein pc jetzt schon spinnt, aber ich weiss das der Virus W32.Stration.CX@mm bei mir drauf ist und des ist wohl das Hauptproblem. Mein Norton kann den nicht entfernen, kannst du mir bitte dabei helfen ihn zu löschen oder muss ich das woanders reinposten???
mfg fire_kilo

Cleriker · 02.11.2007, 09:09

Morgen,

na dann beseitigen wir erst mal dein Hauptproblem:

* Anleitung Avenger
1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to delete:

C:\WINDOWS\system32\kbdidpla.dll
C:\WINDOWS\system32\arotq5rc3.dll

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt

Versuche anschließend erneut einen escan nach Anleitung
durchzuführen.

mfg Cleriker

Hilfe bei photo.exe

Log-Analyse und Auswertung: Hilfe bei photo.exe