Hallo,
Seid 2 Tagen bekomm ich mehrmals am Tag Virenmeldungen von Trojanern ( Habe Antivir).


TR/Click.MNB in C dokumente udn einstellungen/***/lokale einstellungen /temp/abkbikxl.exe
TR/Click.MNB in C:/dokumente und einstellungen/****/lokale Einstellungen /temporary internet files/content.IE5/FZ026H66/poiu[1]
TR/Dldr.PuritySca.A in C//.../update.exe
TR/Vundo.DRT in C:/WINDOWS/system32/hdtvpeey.dll
TR/Fotomoto.F.1 in C ???

Das sind die häufigsten meldungen die kommen,wobei am heutigem Tag jede Sekunde

Zitat:

TR/Vundo.DRT in C:/WINDOWS/system32/hdtvpeey.dll

Der hier kam. Habs gelöscht,in die karantäne geschoben, ZUgriff verweigert.NIX GInG...er kam einfach wieder...und wieder und wieder.
Hab grade HIJACK runtergeladen und das mal drüber laufen lassen,allerdings kann Ich da nichts analysieren.Würd mich freuen wenn ihr mir da helfen könntet.

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:17:07, on 05.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avconfig.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\Versatel\Versatel.exe
C:\DOKUME~1\Frantic\LOKALE~1\Temp\Temporäres Verzeichnis 1 für HiJackThis.zip\HijackThis.exe
C:\WINDOWS\explorer.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.defaulthomepage.info
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.defaulthomepage.info
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von Versatel
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKLM\..\Run: [d099aa32] rundll32.exe "C:\WINDOWS\system32\hdtvpeey.dll",b
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {81C37002-CC70-4A00-8B10-B5A298320505} - http://www.medionshop.de/ (file missing) (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.versatel.de/internet-cd/
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://lokalisten.de/iup/ImageUploader4.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{501F3477-E144-40F6-947E-43BAA47510A2}: NameServer = 192.168.123.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{AF5A8273-25A9-463F-A36D-486CF08DCF1A}: NameServer = 62.220.18.8 89.246.64.8
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: IviRegMgr - InterVideo - C:\Programme\Gemeinsame Dateien\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe

--
End of file - 4884 bytes

Zuletzt wäre noch zu nennen,dass gestern und vorgestern Ich zuerst alles gelöscht habe an "viren",das heisst solange bis keine meldungen mehr kamen.anschliessend mit Tune UP shredderer Die datein wie TEMP und TEMPORARY INTERNET FILES vollständig gelöscht habe. Auch mit dem start up manager alles gelöscht,was beim start sich nicht "alleine " öffnen soll.trotzdem sind immer und immer wieder dieselben viren zu finden.
Seit grad eben bekomm ich fehlermeldungen von :

TR/Vundo.DRT in C:/dokumente und einstellungen/****/lokale Einstellungen /temporary internet files/content.IE5/FZ026H66/hctp[1]
Der Ördner ist unlöschbar,da ein programm grad darauf zugreift Oo

Ich hoffe Ihr könnt mir helfen und seid auch bereit dazu . Des weiteren wollte Ich mal fragen, ob das ganze auf eine Formatierung hinauslaufen wird.weil Ich dann daten sichern müsste. Wenn ich sie sichern müsste,könnte Ich die auf meine externe festplatte draufpacken und kann diese auch durch viren infiziert sein. 120 GB datenverlust wäre für mich nicht zu verkraften und ein ernsthaftes Problem. Wenn Ich die wichtigsten sachen auf CDR brenne,können diese Viren in sich tragen ?(Hab keinen dvd brenner,was mir die sache erschwert..) Als letzte Frage,wollte Ich wissen ,ob man die ganze sache verlangsamen kann,in dem man zB Die Windoof Firewall aktiviert und/oder ein anderes Antivir prog nimmt.
Ich hoffe wirklich ,dass ihr mir helfen könnt.
Mit fruendlichem Gruss

Sebastian K.

€dit : Hab seit grade guardgui.exe im Taskmanager.Ca 20 mal geöffnet. .

Ausserdem tauchen die Viren in immer mehr datein auf.Was ich sagen will: Da oben das sind nicht die einzigen Pfade...

2.te €dit: Ich hänge ein paar Textdokumente an.Testergebnisse von antivir.zT was gefunden,zT nichts.Villeicht hilft euch das weiter.

File-Upload.net - Ihr kostenloser File Hoster!


File-Upload.net - Ihr kostenloser File Hoster!


Weitere Folgen wenn sie fertig sind und wenn sie euch was nützen (also wenn sie erwünscht sind.




€3: Es kommt hinzu :

TR/Virtumonde.C in C/windows/system32/edohplid.dll

Hallo.

Zitat:

Ich hoffe Ihr könnt mir helfen und seid auch bereit dazu . Des weiteren wollte Ich mal fragen, ob das ganze auf eine Formatierung hinauslaufen wird.weil Ich dann daten sichern müsste.

Neuaufsetzen ist (fast) immer die beste Methode, denn so hast du die Garantie für ein sauberes System. Du solltest aber das Datensichern nicht davon abhängig machen, wichtige Daten gehören immer und regelmäßig gesichert, denn Festpatten leben auch nicht ewig.

Deaktivier zuerst mal die Systemwiederherstellung (siehe Signatur), weil sich Schädlinge da auch einklinken.

Dann kannst du schon mal die erwähnten Schädlingsdateien löschen:

1.) Lade dir das Tool Avenger, speichere es auf dem Desktop und starte es.
2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Code: Alles auswählenAufklappen

ATTFilter

Files to delete:
C:\WINDOWS\system32\hdtvpeey.dll
C:\windows\system32\edohplid.dll

Folders to delete:
C:\Programme\MyWebSearch
         

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.
4.) Danach das System unverzüglich neu starten lassen
5.) Poste den Inhalt der C:\avenger.txt Datei.

Geh auch mal in den abgesicherten Modus von Windows und starte HJT mit der option Do a system scan only - marker dann diese Einträge an:

Code: Alles auswählenAufklappen

ATTFilter

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.defaulthomepage.info
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.defaulthomepage.info
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O4 - HKLM\..\Run: [d099aa32] rundll32.exe "C:\WINDOWS\system32\hdtvpeey.dll",b
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000
         

Sind diese markiert, klickst du unten auf den Button fix checked - dadurch werden diese Einträge gefixt wie man so schön sagt.
Starte Windows neu (normaler Modus) und erstelle ein neues HJT-Log - poste es.

Führ danach folgende Tools bzw. Anleitungen aus und poste die Logfiles:

- eScan
- Silentrunners
- combofix

Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:

Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing7.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

Hallo.
Vielen Dank für die schnelle hilfe: Ich werde dieses Wochenende allerdings wegfahren,so dass ich euch am Montag nach der Schule dann alles posten werde. Bitte um Entschuldigung.

Achja : Natürlich editiere Ich diesen Post,so dass er nicht gelöscht werden muss. (bitte nicht thema schliessen!! )

Mit freundlichem gruss und herzlichem Dank schoneinmal
Sebastian

Also Ich habs mir anders überlegt.

Nun hats mir gereicht...FORMATIERT...
Alle benötigte Software runtergeladen und ZACK waren die Viren wieder da..

Also dann mal ne CD gekauft mit KNOPPICILLIN 6,allerdings ging da die online registrierung und aktualisierung nicht.Somit hats mir auch wenig gebracht..Viren gingen nicht platt...

FORMATION Nummer 2.. Diesmal Durch PC-WELT Software auf CD erst PC geschützt (Firewall und Antivir(wenn auch alt...)) und dann ins Internet gegangen und antivir usw installiert..Bis jetzt gabs keine Virus meldungen..mal abwarten.Hab zusätzlich noch nen Router dazwischen geschaltet
Also abwarten..abwarten..abwarten :-! nun installiert der grad 17 windoof updates und danach werd ich SP2 installieren und hoffen dass es keine Probs geben wird...
Naja erstmal alles mögliche installieren...hauptsache die Drecksteile sind weg...

Problem war halt,dass sie immer wieder kamen. Hab sie gelöscht. es war gut..aber bei jedem reboot kamen sie wieder,versteckt in irgendeiner kleinen exe datei im autostart...Wobei Ich zusätzlich noch Tune Up Startmanager hab laufen lassen um sowas auszuschalten ...ach kein plan..egal ...es hat hoffentlich ein Ende..und zwar genau JETZT wie dieser Text xD

Hallo,

Hatte seit Wochen das selbe Problem. Weder Ad-Aware, XoftSpySE, AntiVir, VundoFix von Symantec, noch Mwav (è Scan) konnten den Grund allen Übels finden, bei mir "khfca.dll" im Verzeichnis "C:\WINDOWS\system32\!
Die genannten Programme erkannten zwar Files wie hdtvpeey.dll und andere, aber nicht das wirkliche Problem, die Datei "khfca.dll" und manuell Löschen ging nicht (kein Zugriff), auch nicht im abgesicherten Modus.

Am Ende half nur Prevx CSI, zu finden unter

"http://www.prevx.com/filenames/195615072433941642-0/KHFCA.DLL.html"

Für die Entfernung muss bezahlt werden (€20,-), ist allerdings immer noch besser, als stundenlang neu aufzusetzen. Nach der Säuberung muss Windows neu gestartet und aktiviert bzw. registriert werden, also Achtung....

Seither läuft alles wieder wie vorher - perfekt

Zitat:

Am Ende half nur Prevx CSI, zu finden unter

Nur?
Es gibt auch Programme wie Killbox oder dem Avenger um unlöschbare Dateien zu löschen. Notfalls kann man auch zu Rettungs-CD wie z.B. BartPE greifen und von dem "Fremdsystem" aus problemlos unliebsame Dateien löschen.

Zitat:

Für die Entfernung muss bezahlt werden (€20,-), ist allerdings immer noch besser, als stundenlang neu aufzusetzen. Nach der Säuberung muss Windows neu gestartet und aktiviert bzw. registriert werden, also Achtung....

Naja, ob man extra deswegen für die Entfernung ein Programm kaufen muss, das bezweifel ich eher. Es kommt auch immer auf die Infektion selber an (fast jeder Fall ist da individuell) und wenn Rootkits/Backdoors gefunden werden, dann bringt kein Programm mehr was auch nicht PrevX.
Und wenn du mal eine aufwendige Bereinigung mit Neuaufsetzen vergleichst, dann wirst du feststellen, dass sich dort zeitmäßig nicht viel tut. Mit dem Neuaufsetzen bist du zwar auch einige Stunden dabei, aber beim Bereinigen gehts auch nicht viel schneller und du hast nicht die Garantie der Schädlingsfreiheit.

Killbox und Avenger hatte ich versucht, nachdem ich deinen Beitrag in diesem Forum gelesen hatte, nur nicht aufgezählt. Leider kein Erfolg. Die beiden Programme haben noch nicht einmal etwas gefunden und nach 2 Tagen rauf und runterfahren, im abgesicherten Modus mit und ohne Systemherstellung usw......irgendwann reicht es.

Aber jeder wie er will, ist ja ein Forum, um Erfahrungen auszutauschen.

Zitat:

Die beiden Programme haben noch nicht einmal etwas gefunden und nach 2 Tagen rauf und runterfahren, im abgesicherten Modus mit und ohne Systemherstellung usw......irgendwann reicht es.

Killbox und der Avenger "finden" auch nichts. Diese Programme sind nur dafür gedacht, bekannte Malwaredateien, die schon im System sind, zu löschen...