Trojan.Win32.BHO.yr

UneeQ · 20.11.2007, 09:00

Hallo zusammen,

ich habe heute morgen von Kaspersky die Meldung bekommen, dass die Datei
c\windows\system32\dpwsockxf.dll mit dem Virus Trojan.Win32.BHO.yr infiziert ist. Ich kann diese Datei aber weder löschen, noch desinfizieren noch sonst irgendwas damit machen.

Ich kenne mich auch nicht so gut aus

könnt ihr mir bitte helfen?

Danke im Voraus!

LG
UneeQ

TiMEDANCE · 20.11.2007, 09:15

also das Problem, dass sich trojaner dateien nicht löschen lassen kenne ich...

Aber ich bin da mal selber per zufall auf nen kleinen trick gekommen...

Und zwar, wenn funkt "möglicherweise" nur, wenn du das Brennprogramm NERO auch installiert hast...
Nero bietet schon mal den Vorteil, das dieser auch fast alle system-datein anzeigt, die sonst vom Explorer nicht angezeigt werden..
Probier mal im abgesicherten rauf fahren... und dann im nero die datei auswählen und löschen... (ich hab damit auch schon sehr viele sachen bereinigen können)

UneeQ · 20.11.2007, 14:13

Ich hab Nero gar nicht drauf. Soll ich mir das jetzt erst runterladen? Nero ist ja auch ziemlich groß, ne?

Mein Kollege meinte gerade, dass mir außder formatieren nichts übrig bleiben wird

((

Hat vielleicht jemand noch Tipps für mich?

TiMEDANCE · 20.11.2007, 14:27

Zitat:

Zitat von UneeQ

Ich hab Nero gar nicht drauf. Soll ich mir das jetzt erst runterladen? Nero ist ja auch ziemlich groß, ne?

Mein Kollege meinte gerade, dass mir außder formatieren nichts übrig bleiben wird

((

Hat vielleicht jemand noch Tipps für mich?

naja ich glaube NERO brauchst du dir nicht extra deswegen zulegen... aber ich hab mir damals durch dem file-browser von NERO einen vorteil verschaffen können...

bringt windows die Meldung, dass diese Datei vom system verwendet wird ?

nochdigger · 20.11.2007, 17:31

Hallo

mach mal alle versteckten Dateien und Ordner sichtbar, dann lade diese Datei :
c\windows\system32\dpwsockxf.dll
mal hier Virustotal
hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 36 AntiVirus Engine, Last Update(071109)
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

Erstelle bitte auch ein HijackThis Log

Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
(nur diese Version benutzen, nicht die BETA-Version!)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)

MFG

UneeQ · 20.11.2007, 21:25

hmm also ich habe bei allen drei genannten seiten versucht, die datei hochzuladen und jedesmal ging es nicht. hier mal der letzte text: The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file
jedesmal kommt auch die meldung pe_patch.upx//upx wurde nicht desinfiziert von kaspersky
das gefällt mir gar nicht

hier die logfile von hijackthis

Logfile of HijackThis v1.99.1
Scan saved at 21:24:07, on 20.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\ibmpmsvc.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Cisco Systems\Aironet Client Monitor\ACUMon.Exe
C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\test\Desktop\this.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Programme\Freecorder\tbFree.dll
O2 - BHO: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Programme\Freecorder\tbFree.dll
O2 - BHO: (no name) - {70C9ECD1-081A-4B37-8DE2-AE3569DEFF02} - C:\WINDOWS\System32\dpwsockxf.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Freecorder Toolbar - {1392b8d2-5c05-419f-a8f6-b9f15a596612} - C:\Programme\Freecorder\tbFree.dll
O4 - HKLM\..\Run: [ACUMon] "C:\Program Files\Cisco Systems\Aironet Client Monitor\ACUMon.Exe" -a
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe"
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.ca.com/de/securityadvisor/pestscan/pestscan.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1192553156252
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1192553142082
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game04.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D2982A7F-489A-47F5-A319-FC1F14EBC245} (Navigator Class) - http://www.nutzwerk.de/control/NutzNavi.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://www.flatcast.com/obj/NpFv415.dll
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F554} (Flatcast Viewer 4.16) - http://www.flatcast.info/objects/NpFv41629.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: klogon - C:\WINDOWS\System32\klogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Kaspersky Personal Security Suite V (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe" -r (file missing)
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\System32\ibmpmsvc.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe

was mache ich jetzt?

nochdigger · 20.11.2007, 22:11

Hallo

Versuchen wir es so, lade dir bitte diese Tools herunter
Ccleaner --> CCleaner Download
OTMoveit --> http://download.bleepingcomputer.com...r/OTMoveIt.exe

Ccleaner installieren (die toolbar nicht installieren) - wähle unter Options --> Settings --> German

Anschließend starte HijackThis mit der Option - do a system scan only - und hake diese Einträge an :

Zitat:

O2 - BHO: (no name) - {70C9ECD1-081A-4B37-8DE2-AE3569DEFF02} - C:\WINDOWS\System32\dpwsockxf.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

klicke nun auf - fix checked - und beende Hijackthis.

Löschen mit OTMoveIt:

* Starte OTMoveIt.exe mit einem doppelklick.
* Kopiere alle Dateien aus dieser Box markiere die Datei (dann STRG C):

Code:

ATTFilter

C:\WINDOWS\System32\dpwsockxf.dll

* Im Programm OTMoveIt, mach einen rechtsklick in das Fenster unter "Paste List of Files/Folders to be moved" und wähle 'Einfügen'.
* Klick auf den roten Moveit! button.
* Kopiere nun alles (STRG A -->STRG C) aus dem Results Fenster und füge den Inhalt in deinen Beitrag ein (STRG V).
* Beende OTMoveIt

Lass den CCleaner laufen.

Starte dein System neu und kontrolliere ob diese Datei
C:\WINDOWS\System32\dpwsockxf.dll
noch vorhanden ist.

MFG

UneeQ · 20.11.2007, 22:37

Ich hab alles gemacht, aber diese verdammte Datei wehrt sich mit Händen und Füßen! Sie ist tatsächlich immer noch da.

Sobald ich den Explorer öffne, oder den Papierkorb oder sonst irgendwas, was mit dem System zu tun hat, kommt sofort die Meldung von Kaspersky, dass die Datei nicht gelöscht bzw. desinfiziert werden konnte.

Selbst im abgesicherten Modus konnte ich diese Datei nicht löschen

Ich bin für jede Hilfe dankbar!

nochdigger · 20.11.2007, 22:49

Hallo

Hm versuchen wir es so

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Code:

ATTFilter

Files to delete:
C:\WINDOWS\System32\dpwsockxf.dll

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt Datei nach dem Neustart.

Starte dann den Rechner neu und kontrolliere ob die Datei noch vorhanden ist.

MFG

UneeQ · 20.11.2007, 22:57

sie ist immer noch da. diese ver.... datei ist immer noch da *argh*
ich krieg ne krise!

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\psjrtxpe

*******************

Script file located at: \??\C:\WINDOWS\ddeptjjs.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Could not open file C:\WINDOWS\System32\dpwsockxf.dll for deletion
Deletion of file C:\WINDOWS\System32\dpwsockxf.dll failed!

Could not process line:
C:\WINDOWS\System32\dpwsockxf.dll
Status: 0xc0000022

Completed script processing.

*******************

Finished! Terminate.

nochdigger · 21.11.2007, 05:43

Moin

erstelle bitte Logs mit Silentrunners sowie der Filelist

Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

Silentrunners Logfile

-Lade dir das Tool -> Silentrunners
-Entpacke das Script in einen Ordner deiner Wahl
-Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
-System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
-Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein.
(Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen)

MFG

UneeQ · 21.11.2007, 07:58

filelist:
Verzeichnis von C:\
21.11.2007 07:37 805.306.368 pagefile.sys
20.11.2007 22:51 1.388 avenger.txt
20.11.2007 13:55 26.396 drwtsn32.log
18.11.2007 12:50 268 sqmdata08.sqm
18.11.2007 12:50 244 sqmnoopt08.sqm
18.11.2007 12:36 268 sqmdata07.sqm
18.11.2007 12:36 244 sqmnoopt07.sqm
18.11.2007 12:18 268 sqmdata06.sqm
18.11.2007 12:18 244 sqmnoopt06.sqm
18.11.2007 12:08 244 sqmnoopt05.sqm
18.11.2007 12:08 268 sqmdata05.sqm
18.11.2007 11:40 268 sqmdata04.sqm
18.11.2007 11:40 244 sqmnoopt04.sqm
18.11.2007 01:32 268 sqmdata03.sqm
18.11.2007 01:32 244 sqmnoopt03.sqm
17.11.2007 23:16 268 sqmdata01.sqm
17.11.2007 23:16 244 sqmnoopt01.sqm
17.11.2007 22:29 1.582 coinst.trc
17.11.2007 09:35 268 sqmdata00.sqm
17.11.2007 09:35 244 sqmnoopt00.sqm
17.11.2007 09:23 268 sqmdata19.sqm
17.11.2007 09:23 244 sqmnoopt19.sqm
17.11.2007 09:17 211 boot.ini
17.11.2007 08:58 47.564 NTDETECT.COM
17.11.2007 08:58 251.184 ntldr
15.11.2007 22:04 268 sqmdata18.sqm
15.11.2007 22:04 244 sqmnoopt18.sqm
14.11.2007 19:55 268 sqmdata02.sqm
14.11.2007 19:55 244 sqmnoopt02.sqm
13.11.2007 21:22 268 sqmdata17.sqm
13.11.2007 21:22 244 sqmnoopt17.sqm
28.10.2007 22:19 268 sqmdata16.sqm
28.10.2007 22:19 244 sqmnoopt16.sqm
28.10.2007 21:51 268 sqmdata15.sqm
28.10.2007 21:51 244 sqmnoopt15.sqm
28.10.2007 09:32 268 sqmdata14.sqm
28.10.2007 09:32 244 sqmnoopt14.sqm
26.10.2007 21:33 232 sqmdata13.sqm
26.10.2007 21:33 244 sqmnoopt13.sqm
26.10.2007 20:52 268 sqmdata12.sqm
26.10.2007 20:52 244 sqmnoopt12.sqm
23.10.2007 19:11 268 sqmdata11.sqm
23.10.2007 19:11 244 sqmnoopt11.sqm
21.10.2007 20:26 268 sqmdata10.sqm
21.10.2007 20:26 244 sqmnoopt10.sqm
20.10.2007 22:19 268 sqmdata09.sqm
20.10.2007 22:19 244 sqmnoopt09.sqm

Verzeichnis von C:\WINDOWS\system32

18.11.2007 19:59 93.480 FNTCACHE.DAT
18.11.2007 09:17 392.630 perfh009.dat
18.11.2007 09:17 58.930 perfc009.dat
18.11.2007 09:17 405.692 perfh007.dat
18.11.2007 09:17 70.976 perfc007.dat
18.11.2007 09:17 938.224 PerfStringBackup.INI
18.11.2007 09:16 129.082 TZLog.log
17.11.2007 09:27 2.206 wpa.dbl
17.11.2007 09:26 269 spupdwxp.log
02.11.2007 08:12 18.238.072 MRT.exe
29.10.2007 16:35 123.904 xpsp3res.dll
25.10.2007 17:55 8.495.616 shell32.dll
19.10.2007 21:45 1.419.232 wdfcoinstaller01005.dll

Verzeichnis von C:\WINDOWS\Prefetch

21.11.2007 07:50 11.274 FIND.EXE-0EC32F1E.pf
21.11.2007 07:50 13.038 CMD.EXE-087B4001.pf
21.11.2007 07:50 52.818 WINRAR.EXE-3588DFE8.pf
21.11.2007 07:50 21.376 VERCLSID.EXE-3667BD89.pf
21.11.2007 07:50 4.446 DRVCTL.EXE-2FB66A0B.pf
21.11.2007 07:50 44.470 SDTRAYAPP.EXE-1A2007EF.pf
21.11.2007 07:49 26.428 SDLOADER.EXE-211412BD.pf
21.11.2007 07:49 48.120 SWDOCTOR.EXE-13B584DD.pf
21.11.2007 07:46 46.198 UPDATE.EXE-0C3CBDEF.pf
21.11.2007 07:46 14.504 WSCNTFY.EXE-1B24F5EB.pf
21.11.2007 07:46 16.212 SVCNTAUX.EXE-2857762E.pf
21.11.2007 07:46 43.800 SWDSVC.EXE-178874E9.pf
21.11.2007 07:46 29.748 WMIPRVSE.EXE-28F301A9.pf
21.11.2007 07:46 73.604 WUAUCLT.EXE-399A8E72.pf
21.11.2007 07:45 108.974 FIREFOX.EXE-1D57670A.pf
21.11.2007 07:40 16.866 IMAPI.EXE-0BF740A4.pf
21.11.2007 07:40 80.406 MSNMSGR.EXE-091111D0.pf
21.11.2007 07:40 14.232 CTFMON.EXE-0E17969B.pf
21.11.2007 07:40 60.260 AVP.EXE-2E63EC1B.pf
21.11.2007 07:40 13.448 SYNTPENH.EXE-3967AE36.pf
21.11.2007 07:40 8.304 SYNTPLPR.EXE-0AB61C3B.pf
21.11.2007 07:40 15.516 ACUMON.EXE-19D88ECE.pf
21.11.2007 07:39 868.678 NTOSBOOT-B00DFAAD.pf
20.11.2007 22:54 15.514 NOTEPAD.EXE-336351A9.pf
20.11.2007 22:54 11.766 REGEDIT.EXE-1B606482.pf
20.11.2007 22:54 4.374 ZIP.EXE-1BAD456F.pf
20.11.2007 22:54 11.254 ATTRIB.EXE-39EAFB02.pf
20.11.2007 22:50 14.060 AVENGER.EXE-06CFE61B.pf
20.11.2007 22:31 20.630 CCLEANER.EXE-065E2F3F.pf
20.11.2007 22:22 13.794 OTMOVEIT.EXE-24FFF45C.pf
20.11.2007 22:21 44.354 THIS.EXE-3B93BC93.pf
20.11.2007 22:19 103.950 EXPLORER.EXE-082F38A9.pf
20.11.2007 22:19 19.818 USERINIT.EXE-30B18140.pf
20.11.2007 22:19 19.540 ATI2EVXX.EXE-19D16EB9.pf
20.11.2007 22:19 17.400 MPNOTIFY.EXE-3631A846.pf
20.11.2007 22:18 15.788 RUNDLL32.EXE-4708E214.pf
20.11.2007 22:18 16.224 RUNDLL32.EXE-312C9CD6.pf
20.11.2007 22:13 63.654 RUNDLL32.EXE-2CCB8C96.pf
20.11.2007 22:12 29.128 RUNDLL32.EXE-45676EB7.pf
20.11.2007 22:02 72.796 WMPLAYER.EXE-09969338.pf
20.11.2007 21:59 7.730 MP3ENC.EXE-2321E4F6.pf
20.11.2007 21:47 17.194 SWITCH.EXE-2BF2DBE9.pf
20.11.2007 21:46 13.912 RUNDLL32.EXE-451FC2C0.pf
20.11.2007 21:44 79.288 WMPLAYER.EXE-09969332.pf
20.11.2007 21:44 37.006 UNREGMP2.EXE-07CACB61.pf
20.11.2007 21:44 18.698 SETUP_WM.EXE-19AC5A9B.pf
20.11.2007 21:42 18.198 TASKMGR.EXE-20256C55.pf
20.11.2007 21:23 13.676 HIJACKTHIS.EXE-0B768E3A.pf
20.11.2007 20:54 344.024 Layout.ini
20.11.2007 18:55 20.558 USNSVC.EXE-1D8C2356.pf
20.11.2007 18:36 70.254 DIVX PLAYER.EXE-0459E47A.pf
20.11.2007 13:57 33.600 WLLOGINPROXY.EXE-33926225.pf
20.11.2007 13:57 110.984 IEXPLORE.EXE-2CA9778D.pf
20.11.2007 09:17 16.004 RUNDLL32.EXE-1E61EA38.pf
20.11.2007 09:17 16.062 RUNDLL32.EXE-161DB6A8.pf
20.11.2007 09:12 12.932 LOGON.SCR-151EFAEA.pf
20.11.2007 09:01 15.128 RUNDLL32.EXE-1FCEFDF5.pf
20.11.2007 08:49 11.006 UNINSTALL.EXE-03362FB3.pf
20.11.2007 08:49 12.670 UNINSTALL.EXE-35BF553C.pf
20.11.2007 08:49 54.066 RUNDLL32.EXE-13404D23.pf
20.11.2007 08:47 13.428 CLEANUP.EXE-3438663A.pf
20.11.2007 08:46 13.184 CLEANUP452.EXE-3881A020.pf
20.11.2007 08:38 26.742 RUNDLL32.EXE-147710F4.pf
19.11.2007 10:34 16.972 RUNDLL32.EXE-2FF0653C.pf
19.11.2007 10:28 18.556 ALG.EXE-0F138680.pf
19.11.2007 08:44 12.406 RUNDLL32.EXE-268BFF96.pf
19.11.2007 08:20 68.438 UPDATE.EXE-00F10F77.pf
19.11.2007 08:20 68.916 UPDATE.EXE-2CCC0CD1.pf
19.11.2007 08:19 64.558 UPDATE.EXE-33509310.pf
18.11.2007 22:18 65.012 DFRGNTFS.EXE-269967DF.pf
18.11.2007 22:18 18.762 DEFRAG.EXE-273F131E.pf
18.11.2007 14:30 36.750 REGSVR32.EXE-25EEFE2F.pf
18.11.2007 14:30 17.714 LOGAGENT.EXE-027AF92B.pf
18.11.2007 14:29 35.964 MSIEXEC.EXE-2F8A8CAE.pf
18.11.2007 12:28 30.440 GOOGLETOOLBARNOTIFIER.EXE-09E6E9C6.pf
18.11.2007 12:28 69.304 GOOGLEUPDATER.EXE-36CE3796.pf
18.11.2007 09:17 39.236 WMIADAP.EXE-2DF425B2.pf
77 Datei(en) 3.666.136 Bytes
0 Verzeichnis(se), 6.125.813.760 Bytes frei

Verzeichnis von C:\WINDOWS

21.11.2007 07:46 126.018 WindowsUpdate.log
21.11.2007 07:38 159 wiadebug.log
21.11.2007 07:38 50 wiaservc.log
21.11.2007 07:37 0 0.log
21.11.2007 07:37 2.048 bootstat.dat
20.11.2007 22:23 2.950 SchedLgU.Txt
18.11.2007 14:30 316.640 WMSysPr9.prx
18.11.2007 13:47 0 nsreg.dat
18.11.2007 13:20 737.280 iun6002.exe
17.11.2007 09:17 644 win.ini
15.11.2007 20:38 34 cdplayer.ini
07.11.2007 21:47 2.016 ModemLog_ThinkPad Integrated 56K Modem.txt
20.10.2007 20:08 662 unins000.dat
20.10.2007 20:08 72.748 unins000.exe

Verzeichnis von C:\WINDOWS\tasks

21.11.2007 07:38 6 SA.DAT
07.09.2007 16:15 394 1-Klick-Wartung.job
18.08.2001 20:00 65 desktop.ini
3 Datei(en) 465 Bytes
0 Verzeichnis(se), 6.125.809.664 Bytes frei

erzeichnis von C:\DOKUME~1\test\LOKALE~1\Temp

21.11.2007 07:50 117.264 filelist.txt
20.11.2007 19:39 0 aaxE.tmp
20.11.2007 18:36 0 aax4.tmp
20.11.2007 18:36 0 aax3.tmp
4 Datei(en) 117.264 Bytes
0 Verzeichnis(se), 6.125.809.664 Bytes frei

Silentrunners:

"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"msnmsgr" = ""C:\Programme\MSN Messenger\msnmsgr.exe" /background" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"ACUMon" = ""C:\Program Files\Cisco Systems\Aironet Client Monitor\ACUMon.Exe" -a" ["Cisco Systems, Inc."]
"AVP" = ""C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe"" ["Kaspersky Lab"]
"SynTPLpr" = "C:\Programme\Synaptics\SynTP\SynTPLpr.exe" ["Synaptics, Inc."]
"SynTPEnh" = "C:\Programme\Synaptics\SynTP\SynTPEnh.exe" ["Synaptics, Inc."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{1392b8d2-5c05-419f-a8f6-b9f15a596612}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Freecorder Toolbar"
\InProcServer32\(Default) = "C:\Programme\Freecorder\tbFree.dll" ["Conduit Ltd."]
{70C9ECD1-081A-4B37-8DE2-AE3569DEFF02}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\System32\dpwsockxf.dll" [null data]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
{9030D464-4C02-4ABF-8ECC-5164760863C6}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Windows Live Sign-in Helper"
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll" [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{e57ce731-33e8-4c51-8354-bb4de9d215d1}" = "Universelle Plug & Play-Geräte"
-> {HKLM...CLSID} = "Universelle Plug & Play-Geräte"
\InProcServer32\(Default) = "C:\WINDOWS\system32\upnpui.dll" [MS]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]
"{23170F69-40C1-278A-1000-000100020000}" = "7-Zip Shell Extension"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]
"{85E0B171-04FA-11D1-B7DA-00A0C90348D6}" = "Statistik für Web-Anti-Virus"
-> {HKLM...CLSID} = "Statistik für Web-Anti-Virus"
\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll" ["Kaspersky Lab"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\
<<!>> "GinaDLL" = "cswGina.dll" ["Cisco Systems, Inc."]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."]
<<!>> klogon\DLLName = "C:\WINDOWS\System32\klogon.dll" ["Kaspersky Lab"]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\ShellEx.dll" ["Kaspersky Lab"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\ShellEx.dll" ["Kaspersky Lab"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"ClearRecentDocsOnExit" = (REG_DWORD) hex:0x00000000
{unrecognized setting}

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}

Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\test\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Enabled Scheduled Tasks:
------------------------

"1-Klick-Wartung" -> launches: "C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe /schedulestart" [file not found]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 04, 07 - 16
%SystemRoot%\system32\rsvpsp.dll [MS], 05 - 06

Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{1392B8D2-5C05-419F-A8F6-B9F15A596612}"
-> {HKLM...CLSID} = "Freecorder Toolbar"
\InProcServer32\(Default) = "C:\Programme\Freecorder\tbFree.dll" ["Conduit Ltd."]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{1392B8D2-5C05-419F-A8F6-B9F15A596612}" = "Freecorder Toolbar"
-> {HKLM...CLSID} = "Freecorder Toolbar"
\InProcServer32\(Default) = "C:\Programme\Freecorder\tbFree.dll" ["Conduit Ltd."]

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

HKLM\Software\Classes\CLSID\{85E0B171-04FA-11D1-B7DA-00A0C90348D6}\(Default) = "Statistik für Web-Anti-Virus"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll" ["Kaspersky Lab"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0003-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_03"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_03\bin\npjpi160_03.dll" ["Sun Microsystems, Inc."]

{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}\
"ButtonText" = "Statistik für Web-Anti-Virus"

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]

Internet Explorer Address Prefixes:
-----------------------------------

Prefix for specific service (i.e., "www")

HKLM\Software\Microsoft\Windows\CurrentVersion\URL\Prefixes\
<<H>> "mirc" = "http://www.realvideoestate.info"

Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
<<H>> "{1392b8d2-5c05-419f-a8f6-b9f15a596612}" = (no title provided)
-> {HKLM...CLSID} = "Freecorder Toolbar"
\InProcServer32\(Default) = "C:\Programme\Freecorder\tbFree.dll" ["Conduit Ltd."]

HKLM\Software\Microsoft\Internet Explorer\AboutURLs\
<<H>> "TuneUp" = "file://C|/Dokumente und Einstellungen/All Users/Anwendungsdaten/TuneUp Software/Common/base.css" [file not found]

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

Ad-Aware 2007 Service, aawservice, ""C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe"" ["Lavasoft AB"]
Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\System32\Ati2evxx.exe" ["ATI Technologies Inc."]
Einfache TCP/IP-Dienste, SimpTcp, "C:\WINDOWS\System32\tcpsvcs.exe" [MS]
Kaspersky Personal Security Suite V, AVP, ""C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe" -r" ["Kaspersky Lab"]
RIP-Überwachung, Iprip, "C:\WINDOWS\System32\svchost.exe -k netsvcs" {"C:\WINDOWS\System32\iprip.dll" [MS]}
ThinkPad PM Service, IBMPMSVC, "C:\WINDOWS\System32\ibmpmsvc.exe" ["Lenovo."]

Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
LPR Port\Driver = "lprmon.dll" [MS]

---------- (launch time: 2007-11-21 07:56:23)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 33 seconds, including 8 seconds for message boxes)

UneeQ · 21.11.2007, 08:43

mir ist eben noch aufgefallen, dass ich mit dem internet explorer gar nicht mehr ins internet komme. ich benutze firefox und bin nicht als admin drin aber vorher hatte ich keine probleme. wobei ich gestern den ie nicht benutzt habe... also zuletzt am sonntag hatte ich keine probleme. kann das auch an dem trojaner liegen?

nochdigger · 21.11.2007, 16:36

Hallo

ich dachte nicht, dass sich das ganze als so hartnäckig gestaltet

leider kenne ich Vista noch überhaupt nicht.

Zitat:

ich benutze firefox und bin nicht als admin drin aber vorher hatte ich keine probleme.

kannst du den Adminrechte erhalten oder sind die seit dem Befall entzogen?

Lass bitte mal mindestens 4 von diesen Tools auf dieser Seite laufen (Ausnahme Blacklight ist nicht mehr lauffähig)
AntiRootkit Scanner Anleitung - HijackThis.de Support Board
und poste die Logs, wenn welche erstellt werden.

Evtl. mal diese Toolbar (oder was auch immer das sein soll) deinstallieren, es sei denn du weist genau sie ist sauber --> Freecorder

MFG

UneeQ · 21.11.2007, 22:43

Nee ich hab extra einen Gastzugang angelegt, weil ich schon mal Probleme mit dem Rechner hatte und mir da geraten wurde, nicht mit Adminrechten im Internet zu surfen. Also, damit hab ich keine Probleme. Aber wenn ich als Gast den Internet Explorer aufrufe, bekomme ich die Virenmeldung von Kaspersky und dann die Meldung, dass die Seite nicht aufgerufen werden konnte (so als würde keine Internet-Verbindung gegeben sein)

ich muss die logfiles anhängen, weil der beitrag sonst zu lang wird

Trojan.Win32.BHO.yr

Plagegeister aller Art und deren Bekämpfung: Trojan.Win32.BHO.yr