Trojan NetWorm-i-Virus.fp

jeeny · 20.11.2007, 20:39

hallo ihr :-)

jetzt hat er mich auch erwischt :-(. ich hab hier schon ein bissi rumgeguckt und auch schon google rumgewuselt, mir removal-tools bei symantc runtergeladen und durchlaufen lassen und versucht über den abgesicherten modus einen virenscan usw. zu machen, aber leider hat das nichts gebracht. das teil, was die meisten haben, macht sich auch dann immer auf.

kleines gelbes dreieck unten rechts mit diversen meldungen (ich bin nicht sicher, ob das einer ist, oder doch mehrere trojaner wegen der verschiedenen meldungen.

Security Alert: Net-Worm-i.Virus@fp usw usw.... (das kennt ihr bestimmt schon auswendig)

er macht alle minute ca. unaufgefordert den IE mit seiten auf, wo man angeblich die richtige software gegen das teil runterladen kann. und das nervt extrem.

außerdem hab ich im autostart (hab ich mehrfach versucht zu löschen) nun auch ein "online security guide" und ein "live safety center". wenn ich auf eigenschaften klicke, zeigt er als zieltyp http://kukkakrek.com...... an.

ich hab echt keine ahnung von sowas, also seid gnädig mit mir! doof ist nur, daß ich den rechner zum arbeiten brauche.

ich hab hier gesehen, daß man diesen hijack-log posten soll

ich hab da mal was vorbereitet:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:18:11, on 20.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Logitech\QuickCam10\QuickCam10.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Outlook Express\MSIMN.EXE
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Dokumente und Einstellungen\püppi\Desktop\HiJackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=488
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O3 - Toolbar: Pop-Up Stopper &Companion - {8F05B1A8-9D77-4B8F-AF54-6B2202066F95} - C:\Programme\Panicware\Pop-Up Stopper Companion\popupus.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\gfcqbnmi.dll
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [38235e8c] rundll32.exe "C:\WINDOWS\system32\uspqwhwb.dll",b
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.msn.de/
O15 - Trusted Zone: http://poll.chat4free.de
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,90/mcinsctl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by109fd.bay109.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132167629984
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,23/mcgdmgr.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game18.zylom.lycos.de/activex/zylomgamesplayer.cab
O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://www.beepworld.de/hp/activexeditor/editlive4.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00B44C3.dat
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O24 - Desktop Component 1: Aqua Real - 7db39a0d-580f-4be9-9195-8bfcd226f6c2

--
End of file - 8424 bytes

ich hoffe, ihr könnt mir doofie helfen!!

LG
- jeeny :-)

cosinus · 20.11.2007, 22:55

Hallo.

Du hast schonmal mindestens Vundo/Virtumonde drauf. Erkennbar an diesem Eintrag:

Code:

ATTFilter

O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} - C:\WINDOWS\system32\gfcqbnmi.dll

Dann sind da aber auch noch weitere unbekannte Einträge, diese Dateien gehören dazu. Es muss zuerst mal geklärt um was es sich da handelt:

Code:

ATTFilter

C:\WINDOWS\system32\gfcqbnmi.dll
C:\WINDOWS\system32\uspqwhwb.dll
C:\WINDOWS\system32\__c00B44C3.dat

Werte diese Dateien daher bei Virustotal aus und poste die Ergebnisse inkl. Angaben zu Prüfsummen und Dateigrößen.
Du solltest dir vorher alle Dateien anzeigen lassen.

jeeny · 21.11.2007, 07:44

hallo arne,

hier die auswertung (ich poste mal lieber alles, ok?)

AhnLab-V3 2007.11.21.0 2007.11.21 -
AntiVir 7.6.0.34 2007.11.20 TR/Vundo.CA
Authentium 4.93.8 2007.11.21 -
Avast 4.7.1074.0 2007.11.20 -
AVG 7.5.0.503 2007.11.20 Obfustat.VTX
BitDefender 7.2 2007.11.21 Adware.Virtumonde.GHI
CAT-QuickHeal 9.00 2007.11.20 -
ClamAV 0.91.2 2007.11.21 Adware.SecToolbar
DrWeb 4.44.0.09170 2007.11.20 Trojan.Fakealert.372
eSafe 7.0.15.0 2007.11.14 -
eTrust-Vet 31.3.5312 2007.11.20 -
Ewido 4.0 2007.11.20 -
FileAdvisor 1 2007.11.21 -
Fortinet 3.14.0.0 2007.11.21 -
F-Prot 4.4.2.54 2007.11.21 -
F-Secure 6.70.13030.0 2007.11.21 -
Ikarus T3.1.1.12 2007.11.21 not-a-virus:AdWare.Win32.SecToolBar.k
Kaspersky 7.0.0.125 2007.11.21 not-a-virus:AdWare.Win32.SecToolBar.k
McAfee 5167 2007.11.20 Vundo
Microsoft 1.3007 2007.11.21 Trojan:Win32/Vundo
NOD32v2 2674 2007.11.21 Win32/Adware.SecToolbar
Norman 5.80.02 2007.11.20 W32/Virtumonde.IIT
Panda 9.0.0.4 2007.11.21 Spyware/Virtumonde
Prevx1 V2 2007.11.21 Trojan.Zlob
Rising 20.19.20.00 2007.11.21 -
Sophos 4.23.0 2007.11.21 -
Sunbelt 2.2.907.0 2007.11.21 -
Symantec 10 2007.11.21 Trojan.Vundo
TheHacker 6.2.9.135 2007.11.20 Trojan/BHO.ui
VBA32 3.12.2.5 2007.11.20 -
VirusBuster 4.3.26:9 2007.11.20 Adware.Vundo.V.Gen
Webwasher-Gateway 6.0.1 2007.11.21 Trojan.Vundo.CA
weitere Informationen
File size: 145984 bytes
MD5: 42fd3febf2a514231ed02a94e0e21195
SHA1: 74c4add794349c023b7943a287b23203ecc601b1
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=89871B5E40BA01873A6502E44BA0BC000F42CF4A

die zweite datei konnte ich nicht finden :-(.

AhnLab-V3 2007.11.21.0 2007.11.21 -
AntiVir 7.6.0.34 2007.11.20 TR/Dldr.Agen.ZV.1.B
Authentium 4.93.8 2007.11.21 -
Avast 4.7.1074.0 2007.11.20 -
AVG 7.5.0.503 2007.11.20 Downloader.Small.AVQ
BitDefender 7.2 2007.11.21 Trojan.Downloader.Conhook.BI
CAT-QuickHeal 9.00 2007.11.20 TrojanDownloader.ConHook.hl
ClamAV 0.91.2 2007.11.21 Trojan.Downloader-16191
DrWeb 4.44.0.09170 2007.11.20 -
eSafe 7.0.15.0 2007.11.14 -
eTrust-Vet 31.3.5312 2007.11.20 Win32/Darksma.FR
Ewido 4.0 2007.11.20 Downloader.ConHook.hl
FileAdvisor 1 2007.11.21 -
Fortinet 3.14.0.0 2007.11.21 -
F-Prot 4.4.2.54 2007.11.21 W32/Downldr2.AILP
F-Secure 6.70.13030.0 2007.11.21 Trojan-Downloader.Win32.ConHook.hl
Ikarus T3.1.1.12 2007.11.21 Trojan-Downloader.Win32.ConHook.hl
Kaspersky 7.0.0.125 2007.11.21 Trojan-Downloader.Win32.ConHook.hl
McAfee 5167 2007.11.20 Vundo
Microsoft 1.3007 2007.11.21 TrojanDownloader:Win32/Conhook.AE
NOD32v2 2674 2007.11.21 Win32/TrojanDownloader.Agent.NSM
Norman 5.80.02 2007.11.20 W32/ConHook.GT
Panda 9.0.0.4 2007.11.21 Adware/PurityScan
Prevx1 V2 2007.11.21 Trojan.Zlob
Rising 20.19.20.00 2007.11.21 Trojan.DL.Win32.ConHook.hl
Sophos 4.23.0 2007.11.21 Troj/Conhook-AK
Sunbelt 2.2.907.0 2007.11.21 -
Symantec 10 2007.11.21 Downloader
TheHacker 6.2.9.135 2007.11.20 Trojan/Downloader.ConHook.hl
VBA32 3.12.2.5 2007.11.20 Trojan-Downloader.Win32.ConHook.hl
VirusBuster 4.3.26:9 2007.11.20 Trojan.DL.ConHook.CN
Webwasher-Gateway 6.0.1 2007.11.21 Trojan.Dldr.Agen.ZV.1.B
weitere Informationen
File size: 10816 bytes
MD5: 608ac2be51f413be26d55877e9deea92
SHA1: 5979f32580dfdebd9caaf73e2a5f6d23c4418a57
packers: UPX
packers: PE_Patch.UPX, UPX
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=BD036893407CBFFB2A53003C7E7628007B1243D7

vielen dank dir schon mal!

bis später

- jeeny :-)

cosinus · 21.11.2007, 18:50

Ok, probiere den Vundofix:

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

Erstell danach ein neues Hijackthis-Logfile und poste es.
Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:

Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing7.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei rapidshare hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

jeeny · 21.11.2007, 19:55

mohoin!

1) vondofix ausgeführt (eine datei konnte er nicht löschen C:\windows\system32\__c00DF825.dat)

2) dann hier der log von hijack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:31:39, on 21.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\system32\sfbwyvdv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Logitech\QuickCam10\QuickCam10.exe
C:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Outlook Express\MSIMN.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Dokumente und Einstellungen\püppi\Desktop\highjack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Yahoo! Deutschland
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Nachrichten, Unterhaltung, Sport, Lifestyle, Finanzen, Auto und mehr bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h* *p://go.microsoft.com/fwlink/?LinkId=488
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: (no name) - {0064AB79-FB1D-477D-AF78-3AAF8E6BCAFA} - C:\WINDOWS\system32\ddcca.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: CCHelper Class - {0CF0B8EE-6596-11D5-A98E-0003470BB48E} - C:\Programme\Panicware\Pop-Up Stopper Companion\CCHelper.dll (file missing)
O2 - BHO: Mediaplayer - {1536BA74-8625-4240-99B0-BE65883689C8} - C:\Programme\Mediapiraten\Mediapiraten\IEButtonMPInterface.dll (file missing)
O2 - BHO: {294b6d28-4ded-438a-5164-601952f616b1} - {1b616f25-9106-4615-a834-ded482d6b492} - C:\WINDOWS\system32\ultxqawi.dll
O2 - BHO: (no name) - {727DF001-5D8C-4450-B469-CEFD1516C597} - C:\WINDOWS\system32\rsaenh32.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: amazon - {84B94901-3645-4D80-A6B7-4D0050B19455} - C:\Programme\Mediapiraten\Mediapiraten\IEButtonAmazonInterface.dll (file missing)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: eBay - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\Programme\Mediapiraten\Mediapiraten\IEButtonEbayInterface.dll (file missing)
O3 - Toolbar: Pop-Up Stopper &Companion - {8F05B1A8-9D77-4B8F-AF54-6B2202066F95} - C:\Programme\Panicware\Pop-Up Stopper Companion\popupus.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O3 - Toolbar: (no name) - {11A69AE4-FBED-4832-A2BF-45AF82825583} - (no file)
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [38235e8c] rundll32.exe "C:\WINDOWS\system32\iqsgymqj.dll",b
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=h* *p://www.msn.de/
O15 - Trusted Zone: h**p://poll.chat4free.de
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://h* *p://messenger.zone.msn.co...r.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h* *p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://h* *p://security.symantec.com...in/AvSniff.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - http://h**p://download.mcafee.com/mo...0/mcinsctl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://h* *p://by109fd.bay109.hotmai...s/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://h* *p://update.microsoft.com/...?1132167629984
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://h* *p://security.symantec.com.../bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://h* *p://messenger.zone.msn.co...t.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://h* *p://messenger.msn.com/dow...downloader.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - http://h* *p://download.mcafee.com/m...23/mcgdmgr.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://h* *p://game18.zylom.lycos.de...amesplayer.cab
O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - http://h* *p://www.beepworld.de/hp/a.../editlive4.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00DF825.dat
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: DomainService - - C:\WINDOWS\system32\sfbwyvdv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O24 - Desktop Component 1: Aqua Real - 7db39a0d-580f-4be9-9195-8bfcd226f6c2

--
End of file - 9586 bytes

3) die listing.txt hab ich auch fertig. ich hab mich grad an rapidshare geschmissen, ich glaub, ich bin da zu doof für. ich hab nun dort die datei hochgeladen Datei-Upload.eu - Kostenlos Dateien wie Bilder Programme oder Archive hochladen und verteilen

in der hoffnung, daß du trotzdem keine "krummen" dateien oben findest *gg*

btw.... äh.... ich bekomme seit dem neustart keine "komischen" meldungen mit blöden, blinkenden warndreiecken mehr!!! boah! ich bin begeistert!! und auch das explorer-fenster sieht wieder normal aus! :aplaus:

vielen dank dir noch mal für´s helfen

LG
- jessica

jeeny · 21.11.2007, 20:58

sorry wegen den links, ich hab grad noch mal versucht, es zu ändern, aber war zu spät

cosinus · 22.11.2007, 00:10

Hm..da ist längst noch nicht alles weg...da ist sogar neues hinzugekommen!

Dein System hinterlässt bei mir einen sehr überladenen Eindruck und Filesharing scheinst du auch nicht gerade zu scheuen...

Nur mal so als Tipp: Lad da keine Programme runter, das meiste Zeugs davon ist verseucht und kein Virenscanner kann das zuverlässig erkennen.

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop.
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Code:

ATTFilter

files to delete:
C:\WINDOWS\system32\accdd.ini
C:\WINDOWS\system32\accdd.ini2
C:\WINDOWS\system32\jqmygsqi.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\ultxqawi.dll
C:\WINDOWS\system32\bwhwqpsu.ini
C:\WINDOWS\system32\fkaipgyq.exe
C:\WINDOWS\system32\ddcca.dll
C:\WINDOWS\system32\urqrqpp.dll
C:\WINDOWS\system32\sfbwyvdv.exe
C:\WINDOWS\system32\ddcca.dll
C:\WINDOWS\system32\ultxqawi.dll
C:\WINDOWS\system32\rsaenh32.dll
C:\WINDOWS\system32\iqsgymqj.dll
C:\WINDOWS\system32\__c00DF825.dat
C:\WINDOWS\system32\drivers\CO_Mon.sys

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt Datei.

Schau mal dann in den Ordner c:\avenger rein. Da müsste eine Backupdatei vom avenger sein, nennt sich avenger.zip. Darin sind als Backup die gelöschten Dateien. Da es doch ein paar mehr sind, würd ich die gern auswerten. Daher versieh die avenger.zip mit einem Kennwort und mail mir diese mal => E-Mail an cosinus

Ich werd dir dann im Forum die Funde mitteilen. Einige Dateien sehen nämlich ziemlich wild aus. Temporär müsstest du ggf. den Wächter vom Virenscanner ausschalten, der der den Versand beeinträchtigen kann. Und keine Angst, da passiert nichts, solange du diese Dateien nicht (erneut) ausführst.

jeeny · 22.11.2007, 09:13

huhu + guten morgen!

anbei:

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\rfus^fbx

*******************

Script file located at: \??\C:\fwbqhdii.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\accdd.ini deleted successfully.
File C:\WINDOWS\system32\accdd.ini2 deleted successfully.
File C:\WINDOWS\system32\jqmygsqi.ini deleted successfully.
File C:\WINDOWS\system32\mcrh.tmp deleted successfully.
File C:\WINDOWS\system32\ultxqawi.dll deleted successfully.
File C:\WINDOWS\system32\bwhwqpsu.ini deleted successfully.
File C:\WINDOWS\system32\fkaipgyq.exe deleted successfully.
File C:\WINDOWS\system32\ddcca.dll deleted successfully.
File C:\WINDOWS\system32\urqrqpp.dll deleted successfully.
File C:\WINDOWS\system32\sfbwyvdv.exe deleted successfully.

File C:\WINDOWS\system32\ddcca.dll not found!
Deletion of file C:\WINDOWS\system32\ddcca.dll failed!

Could not process line:
C:\WINDOWS\system32\ddcca.dll
Status: 0xc0000034

File C:\WINDOWS\system32\ultxqawi.dll not found!
Deletion of file C:\WINDOWS\system32\ultxqawi.dll failed!

Could not process line:
C:\WINDOWS\system32\ultxqawi.dll
Status: 0xc0000034

File C:\WINDOWS\system32\rsaenh32.dll not found!
Deletion of file C:\WINDOWS\system32\rsaenh32.dll failed!

Could not process line:
C:\WINDOWS\system32\rsaenh32.dll
Status: 0xc0000034

File C:\WINDOWS\system32\iqsgymqj.dll not found!
Deletion of file C:\WINDOWS\system32\iqsgymqj.dll failed!

Could not process line:
C:\WINDOWS\system32\iqsgymqj.dll
Status: 0xc0000034

File C:\WINDOWS\system32\__c00DF825.dat deleted successfully.
File C:\WINDOWS\system32\drivers\CO_Mon.sys deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

die mail mit dem .zip ist auch raus. ich hoffe, die kommt jetzt beim zweiten mal an! der erste versuch kam zurück, obwohl ich hier den virenscanner ausgeschaltet hatte... das ja alles was.

falls es nicht geht, hab ich einen screenshot von den dateien im zip gemacht. den kann ich sonst noch mal mailen, falls es hilft

bis später

LG

- jessica :-)

cosinus · 22.11.2007, 14:43

Hier schonmal die Auswertung von Kaspersky:

Code:

ATTFilter

backup.zip/avenger/accdd.ini - OK
backup.zip/avenger/accdd.ini2 - OK
backup.zip/avenger/avenger.txt - OK
backup.zip/avenger/bwhwqpsu.ini - OK
backup.zip/avenger/CO_Mon.sys - OK
backup.zip/avenger/ddcca.dll - OK
backup.zip/avenger/fkaipgyq.exe - infected by Trojan.Win32.Obfuscated.kp
backup.zip/avenger/jqmygsqi.ini - OK
backup.zip/avenger/mcrh.tmp - OK
backup.zip/avenger/sfbwyvdv.exe - infected by Trojan.Win32.Obfuscated.kp
backup.zip/avenger/ultxqawi.dll - OK
backup.zip/avenger/urqrqpp.dll - infected by Trojan.Win32.Inject.kq
backup.zip/avenger/__c00DF825.dat - infected by Trojan-Downloader.Win32.ConHook.hl

Da sind aber einige Dateien wohl noch für den KAV unbekannt. Ich melde mich gleich nochmal.
Mach du in der Zwischenzeit schon mal ein neue Hijackthis-Logfile und ein neues filelist mit dem listing7-script. Zusätzlich noch:

- eScan
- Silentrunners
- combofix

jeeny · 22.11.2007, 21:59

hello again :-)

einmal der hijack:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:48:24, on 22.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Outlook Express\MSIMN.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Alwil Software\Avast4\setup\avast.setup
C:\Dokumente und Einstellungen\püppi\Desktop\highjack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.yahoo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://go.microsoft.com/fwlink/?LinkId=488
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: CCHelper Class - {0CF0B8EE-6596-11D5-A98E-0003470BB48E} - C:\Programme\Panicware\Pop-Up Stopper Companion\CCHelper.dll (file missing)
O2 - BHO: (no name) - {132A54A3-E30B-462E-AD3E-D5E6798DC281} - C:\WINDOWS\system32\ddcca.dll (file missing)
O2 - BHO: Mediaplayer - {1536BA74-8625-4240-99B0-BE65883689C8} - C:\Programme\Mediapiraten\Mediapiraten\IEButtonMPInterface.dll (file missing)
O2 - BHO: {ed9e752b-a8fa-6ff8-dbf4-e3679d3dbfa2} - {2afbd3d9-763e-4fbd-8ff6-af8ab257e9de} - C:\WINDOWS\system32\yomunvce.dll
O2 - BHO: (no name) - {727DF001-5D8C-4450-B469-CEFD1516C597} - C:\WINDOWS\system32\rsaenh32.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: amazon - {84B94901-3645-4D80-A6B7-4D0050B19455} - C:\Programme\Mediapiraten\Mediapiraten\IEButtonAmazonInterface.dll (file missing)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: eBay - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\Programme\Mediapiraten\Mediapiraten\IEButtonEbayInterface.dll (file missing)
O3 - Toolbar: Pop-Up Stopper &Companion - {8F05B1A8-9D77-4B8F-AF54-6B2202066F95} - C:\Programme\Panicware\Pop-Up Stopper Companion\popupus.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O3 - Toolbar: (no name) - {11A69AE4-FBED-4832-A2BF-45AF82825583} - (no file)
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [38235e8c] rundll32.exe "C:\WINDOWS\system32\qwsnvoui.dll",b
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=h**p://www.msn.de/
O15 - Trusted Zone: h**p://poll.chat4free.de
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - h**p://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - h**p://download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,90/mcinsctl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://by109fd.bay109.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132167629984
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - h**p://download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,23/mcgdmgr.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - h**p://game18.zylom.lycos.de/activex/zylomgamesplayer.cab
O16 - DPF: {DA511858-B44C-439E-A0EA-704ED20035E7} (EphoxEditLive4.EditLive) - h**p://www.beepworld.de/hp/activexeditor/editlive4.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c008180C.dat
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O24 - Desktop Component 1: Aqua Real - 7db39a0d-580f-4be9-9195-8bfcd226f6c2

--
End of file - 8953 bytes

und hier ist der link zu der listing.txt http://www.datei-upload.eu/file.php?id=4cb09ebc16af4e17d0c20ad8a033f8d3

ich schmeiss mich dann gleich an die anderen aufgaben und bin dann wieder hier

bis gleich

LG
- jessica :-)

cosinus · 22.11.2007, 22:29

So, erstmal nochmal was generelles: Achte darauf, dass du möglichst nicht den Internet Explorer verwendest, sicherer wären aktuelle Alternativbrowser wie z.B. Firefox oder Opera. Als Mailprogramm ebenfalls was Alternatives nutzen, z.B. Thunderbird von Mozilla. Alles am besten mit eingeschränkten Rechten.

Nun zum Hijackthis-Log, da gibts einiges zu fixen. Starte den Rechner im abgesicherten Modus, öffne Hijackthis, klick auf do a system scan only und markiere diese Einträge:

Code:

ATTFilter

O2 - BHO: CCHelper Class - {0CF0B8EE-6596-11D5-A98E-0003470BB48E} - C:\Programme\Panicware\Pop-Up Stopper Companion\CCHelper.dll (file missing)
O2 - BHO: (no name) - {132A54A3-E30B-462E-AD3E-D5E6798DC281} - C:\WINDOWS\system32\ddcca.dll (file missing)
O2 - BHO: (no name) - {132A54A3-E30B-462E-AD3E-D5E6798DC281} - C:\WINDOWS\system32\ddcca.dll (file missing)
O2 - BHO: Mediaplayer - {1536BA74-8625-4240-99B0-BE65883689C8} - C:\Programme\Mediapiraten\Mediapiraten\IEButtonMPI nterface.dll (file missing)
O2 - BHO: {ed9e752b-a8fa-6ff8-dbf4-e3679d3dbfa2} - {2afbd3d9-763e-4fbd-8ff6-af8ab257e9de} - C:\WINDOWS\system32\yomunvce.dll
O2 - BHO: (no name) - {727DF001-5D8C-4450-B469-CEFD1516C597} - C:\WINDOWS\system32\rsaenh32.dll (file missing)
O2 - BHO: amazon - {84B94901-3645-4D80-A6B7-4D0050B19455} - C:\Programme\Mediapiraten\Mediapiraten\IEButtonAma zonInterface.dll (file missing)
O2 - BHO: eBay - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\Programme\Mediapiraten\Mediapiraten\IEButtonEba yInterface.dll (file missing)
O3 - Toolbar: (no name) - {11A69AE4-FBED-4832-A2BF-45AF82825583} - (no file)
O4 - HKLM\..\Run: [38235e8c] rundll32.exe "C:\WINDOWS\system32\qwsnvoui.dll",b
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c008180C.dat

Klick danach unten auf den Button fix checked und starte den Rechner wieder neu im normalen Modus. Zur Kontrolle wieder ein neues HJT-Logfile erstellen und posten.

Lt. dem neuen listing.txt sind wieder neue krumme Dateien hinzugekommen. Geh wieder wie vorhin mit dem Avenger vor, nur kopier diesmal über die Lupe diesen Text rein:

Code:

ATTFilter

files to delete:
c:\windows\system32\iuovnswq.ini
c:\windows\system32\qwsnvoui.dll
c:\windows\system32\yomunvce.dll
c:\windows\system32\__c008180C.dat
c:\windows\system32\bmndoull.dll
c:\windows\system32\effsqmsv.dll
c:\windows\system32\dspcrues.exe
c:\windows\system32\pmxrbwmi.dll
c:\windows\system32\fbaa1_g.dll
c:\windows\system32\cddfaccbc0_g.ocx

folders to delete:
c:\windows\system32\FxsTmp

Sonst ja alles wie gehabt. Grüne Ampel, System neustarten, avenger-Logfile posten.

jeeny · 23.11.2007, 00:45

so und hier das neue log von hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:42:23, on 23.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Outlook Express\MSIMN.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\püppi\Desktop\highjack.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = //www.yahoo.de/]Yahoo! Deutschland
//www.msn.de/]Nachrichten, Unterhaltung, Sport, Lifestyle, Finanzen, Auto und mehr bei MSN
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = //go.microsoft.com/fwlink/?LinkId=54896]Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = //go.microsoft.com/fwlink/?LinkId=69157]MSN.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = ://go.microsoft.com/fwlink/?LinkId=488
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Pop-Up Stopper &Companion - {8F05B1A8-9D77-4B8F-AF54-6B2202066F95} - C:\Programme\Panicware\Pop-Up Stopper Companion\popupus.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn1\yt.dll
O4 - HKLM\..\Run: [ElbyCheckAnyDVD] "C:\Programme\SlySoft\AnyDVD\ElbyCheck.exe" /L AnyDVD
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_//www.msn.de/
O15 - Trusted Zone: //poll.chat4free.de
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - //messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - //go.microsoft.com/fwlink/?linkid=39204
//security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} (McAfee.com Operating System Class) - //download.mcafee.com/molbin/shared/mcinsctl/en-us/4,0,0,90/mcinsctl.cab
//by109fd.bay109.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - //update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132167629984
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - //security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - //messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - //messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} (DwnldGroupMgr Class) - //download.mcafee.com/molbin/shared/mcgdmgr/en-us/1,0,0,23/mcgdmgr.cab
//game18.zylom.lycos.de/activex/zylomgamesplayer.cab
//www.beepworld.de/hp/activexeditor/editlive4.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c008180C.dat
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O24 - Desktop Component 1: Aqua Real - 7db39a0d-580f-4be9-9195-8bfcd226f6c2

--
End of file - 7740 bytes

und dann habe ich noch folgende grausamkeit.... (es gruselt mich wirklich!!!)

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.5.6
Sprache: German
Virus-Datenbank Datum: 11/22/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "tencent qq Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "kazaa Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({0ba4ac17-3329-4d46-8cf7-40a8f1cb3dca})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({2a652f47-a8ce-414c-bbb4-203a59031056})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({30571f17-3201-47ed-a8ac-254f3d5c5b5c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({3c43bba2-9e93-4758-8669-adce56687e0c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({4898d118-1d1e-4a2d-a8a3-4a75bf333cd5})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({4acc4c22-2baf-46ca-8287-232e785e77ce})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({517f778c-078d-4d33-953b-afbf1720c947})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({76d230aa-fc0c-4dd4-bf9e-4032d60369f1})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({87b24642-366e-4393-851a-b6cec5d7e641})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({8c22668a-d7d8-42f5-99e8-4f30ed0d18b0})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({963dfd8c-2e6a-4db4-bcb3-9d5c78142e41})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({9c1ab46a-1fe8-4953-be30-327e0d6f7d45})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({a06d036f-984f-4482-ad5c-ebd11a638b4c})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({a434ac6f-7286-42c3-982b-20f00263501b})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({c5a786b9-3bd6-4a4e-b4d7-9b752138dc4b})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({d044d89c-01e4-4722-8812-8df543680606})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({d3e78b93-4b65-405d-9095-e82b78555173})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({dd55f5c5-de77-4de1-a139-1025c66acfb0})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({e6857874-b535-46d7-a3eb-4103614e91fc})! Action taken: Keine Aktion vorgenommen.
System found infected with spyware.imfmonitor Spyware/Adware ({fbd42940-b837-40eb-bdb4-86ae00e1d0d1})! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\system32\__c008180C.dat//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\__c008180C.dat//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\bmndoull.dll//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\dspcrues.exe infiziert von "Trojan.Win32.Obfuscated.kp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\effsqmsv.dll//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\__c008180C.dat//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\avenger\backup.zip/avenger/fkaipgyq.exe infiziert von "Trojan-Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\püppi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\03VFMJMB\mosx1024[1]//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\püppi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\PDNSUQGP\mosx1024[1]//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\püppi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\VHXPCWAD\pochki20071106[1] infiziert von "Trojan.Win32.Obfuscated.kp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{47E91E98-5FAF-4219-B53B-841739232B14}\RP1068\A0111001.dll//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{47E91E98-5FAF-4219-B53B-841739232B14}\RP1068\A0111002.dll//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{47E91E98-5FAF-4219-B53B-841739232B14}\RP1068\A0111003.dll//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{47E91E98-5FAF-4219-B53B-841739232B14}\RP1068\A0111086.exe infiziert von "Trojan.Win32.Obfuscated.kp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{47E91E98-5FAF-4219-B53B-841739232B14}\RP1068\A0111088.exe infiziert von "Trojan.Win32.Obfuscated.kp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{47E91E98-5FAF-4219-B53B-841739232B14}\RP1068\A0111090.dll infiziert von "Trojan.Win32.Inject.kq" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\VundoFix Backups\gfvcomec.dll.bad//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\VundoFix Backups\qtyeynrp.dll.bad//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\VundoFix Backups\yuknnqgf.dll.bad//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\VundoFix Backups\__c00B44C3.dat.bad//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\VundoFix Backups\__c00DF825.dat.bad//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\bmndoull.dll//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\dspcrues.exe infiziert von "Trojan.Win32.Obfuscated.kp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\effsqmsv.dll//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\__c008180C.dat//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\system32\qwsnvoui.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.aps". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\püppi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\O1V8DSUP\hctp[1] markiert als "not-a-virus:AdWare.Win32.Virtumonde.aps". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{47E91E98-5FAF-4219-B53B-841739232B14}\RP1067\A0108971.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.aps". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{47E91E98-5FAF-4219-B53B-841739232B14}\RP1068\A0110999.dll markiert als "not-a-virus:AdWare.Win32.SecToolBar.k". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{47E91E98-5FAF-4219-B53B-841739232B14}\RP1068\A0111000.dll markiert als "not-a-virus:AdWare.Win32.SecToolBar.k". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\System Volume Information\_restore{47E91E98-5FAF-4219-B53B-841739232B14}\RP1068\A0111016.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.aps". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\VundoFix Backups\ebftfijr.dll.bad markiert als "not-a-virus:AdWare.Win32.SecToolBar.k". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\VundoFix Backups\gfcqbnmi.dll.bad markiert als "not-a-virus:AdWare.Win32.SecToolBar.k". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\qwsnvoui.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.aps". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\kazaa
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\tencent !!!
Offending Key found: HKCR\magnet !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 107814
Gefundene Viren: 58
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 159
Dauer des Scans bisher: 01:32:16
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 0:36:41,78
Batchende: 0:36:58,92

avenger folgt gleich.....

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\yk^qnhib

*******************

Script file located at: \??\C:\pxqpqhpy.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File c:\windows\system32\iuovnswq.ini deleted successfully.
File c:\windows\system32\qwsnvoui.dll deleted successfully.

File c:\windows\system32\yomunvce.dll not found!
Deletion of file c:\windows\system32\yomunvce.dll failed!

Could not process line:
c:\windows\system32\yomunvce.dll
Status: 0xc0000034

File c:\windows\system32\__c008180C.dat deleted successfully.
File c:\windows\system32\bmndoull.dll deleted successfully.
File c:\windows\system32\effsqmsv.dll deleted successfully.
File c:\windows\system32\dspcrues.exe deleted successfully.
File c:\windows\system32\pmxrbwmi.dll deleted successfully.
File c:\windows\system32\fbaa1_g.dll deleted successfully.
File c:\windows\system32\cddfaccbc0_g.ocx deleted successfully.
Folder c:\windows\system32\FxsTmp deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

LG

- jessica :-)

cosinus · 23.11.2007, 01:09

So einen hartnäckigen Fall hatte ich schon lange nicht mehr. Ich habe den Eindruck da ist irgendwas verstecktes bzw. was ich noch immer übersehe. Es werden anscheinend bei jedem Neustart wieder neue Dateien in c:\windows\system32 abgelegt, mit variierenden Dateinamen.

Willst du dem ganzen nicht ein Ende setzen und lieber neu aufsetzen, anstatt noch weitere Stunden (Tage?!) mit doch rel. hilflosen Bereinigungsaktionen weiterzumachen? Neuaufsetzen wäre in jeder Hinsicht gründlicher und sicherer.

jeeny · 23.11.2007, 01:14

hmmm, ich hab ja keine ahnung von sowas.. mönsch, ich bin ein mädchen *g*

ich hab eben schon mal vorsichtig in das tutorial zum neu aufsetzen geguckt, ich glaub, das ist ne nummer zu hoch für mich

ich glaub, ich geh erstmal eine runde schlafen und überlege morgen.

aber wie immer: vielen dank dir!!!

gute nacht

- jessica :-)

cosinus · 23.11.2007, 15:49

Naja, so hättest du mit Sicherheit alle Schädlinge gelöscht. Aber einen Versuch können wir ja noch wagen

Poste dazu unbedingt nochmal das Silentrunners-Logfile, das ist sehr wichtig!
Deaktiviere auch unbedingt die Systemwiederherstellung, denn im Pfad, wo die Dateien dafür abgelegt werden, hat sich auch einiges eingenistet. Durch das Deaktivieren werden die Dateien gelöscht.

Das aktuelle HJT-Logfile sieht mittlerweile sehr viel besser aus, aber etwas zu monieren hab ich da noch:

Code:

ATTFilter

//www.msn.de/]Nachrichten, Unterhaltung, Sport, Lifestyle, Finanzen, Auto und mehr bei MSN
//security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
//by109fd.bay109.hotmail.msn.com/resources/MsnPUpld.cab
//game18.zylom.lycos.de/activex/zylomgamesplayer.cab
//www.beepworld.de/hp/activexeditor/editlive4.cab

Hast du das Logfile irgendwie verändert? Diese Einträge haben keinen HJT-typischen Bezeichner wie z.B. O4 oder sowas davor. Diese Einträge sehen aber nicht böse aus, sondern nur noch folgender:

Code:

ATTFilter

O20 - AppInit_DLLs: C:\WINDOWS\system32\__c008180C.dat

Dieser Eintrag ist immer noch vorhanden. Entweder der ist hartnäckiger als man glaubt, oder du hast vergessen ihn zu fixen. Mach das nochmal im abgesicherten Modus und erstelle wieder zur Kontrolle ein neues HJT-Log.

Mit dem Avenger musst du erneut einige Dateien löschen, vorgehensweise kennst du ja. Kopiere das hier hinein:

Code:

ATTFilter

files to delete:
C:\WINDOWS\system32\__c008180C.dat
C:\WINDOWS\system32\bmndoull.dll
C:\WINDOWS\system32\dspcrues.exe
C:\WINDOWS\system32\effsqmsv.dll
C:\WINDOWS\system32\qwsnvoui.dll

folders to delete:
C:\Dokumente und Einstellungen\püppi\Lokale Einstellungen\Temporary Internet Files\Content.IE5
C:\kazaa

Grüne Ampel, Systemneustart, Avenger-Log posten.
Zur Kontrolle wieder ein neues Filelisting mit der listing7.cmd erstellen und hier verlinken.

Trojan NetWorm-i-Virus.fp

Plagegeister aller Art und deren Bekämpfung: Trojan NetWorm-i-Virus.fp