Trojaner und kein Ende

Mannimann · 02.01.2008, 13:26

Hallo zusammen

Also das mit dem Trojaner ist ja wirklich eine Epedemie. Mein AntiVir Virusscanner hat mir einen Vundo.Gen im System32\gebba.dll angezeigt. Bekomme ihn leider auch mit dem AntiVir nicht weg. Habe Vundofix V6.7.7 durchlaufen lassen. Der zeigt mir aber einen Vundo-Trojaner im System32\iifcbby.dll an (den ich leider auch mit Vundofix nicht wegbekomme) und überspringt den eigentlichen Gebba.dll. Mit HijackThis im Abgesicherten Modus bekomme ich den iifcbby.dll auch nicht weg.

Da verzweifelt man ja wirklich. Hoffe irgendjemand kann mir weiterhelfen. Habe Windows 2000 auf dem Rechner installiert.

Gruß Manni

BataAlexander · 02.01.2008, 15:03

Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.com'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.com
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)
- Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.
- Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.

Mannimann · 02.01.2008, 17:07

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:03:58, on 02.01.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Windows folder: C:\WINNT
System folder: C:\WINNT\system32
Hosts file: C:\WINNT\System32\drivers\etc\hosts

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\system32\drivers\CDAC11BA.EXE
C:\WINNT\System32\svchost.exe
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Logitech\QuickCam10\QuickCam10.exe
C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\LVComSX.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINNT\system32\internat.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
D:\Software\This.com.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://t-online.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn4\yt.dll
O1 - Hosts: 212.150.54.250 dv-networks.com
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn4\yt.dll (filesize 816400 bytes, MD5 C1B2B3EF8AC5C8C32670D4EC7D524964)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx (filesize 37808 bytes, MD5 8394ABFC1BE196A62C9F532511936DF7)
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINNT\system32\iifcbby.dll (filesize 24304 bytes, MD5 97A8C34931312A23496EE0C8DAA75168)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll (filesize 501136 bytes, MD5 D787E3123FAD2BD58AB45B9A5C360ACD)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll (filesize 2427968 bytes, MD5 7CF63E42CEF592BB1EF76F4B2399B7EF)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll (filesize 325048 bytes, MD5 1DC47CA76A0FFEAA25B45DE5706F2115)
O2 - BHO: (no name) - {FF8E41BD-0273-4AB6-B81E-C0A474202B9B} - C:\WINNT\system32\gebba.dll (filesize 314752 bytes, MD5 0855F596E5B566F68F5511B4AD6195E3)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn4\yt.dll (filesize 816400 bytes, MD5 C1B2B3EF8AC5C8C32670D4EC7D524964)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx (filesize 848144 bytes, MD5 7BDF02B635CC942381F3DB3F0FE9CBD7)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll (filesize 2427968 bytes, MD5 7CF63E42CEF592BB1EF76F4B2399B7EF)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon (filesize 112400 bytes, MD5 029D8BD024795F88FB4C240D6EE656A8)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exeC:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot (filesize 180269 bytes, MD5 006220EE86EB71C5884F415EAA9E8058)
O4 - HKLM\..\Run: [anti_troj] C:\WINNT\system32\anti_troj.exe
O4 - HKLM\..\Run: [key2] C:\WINNT\system32\winlog.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min (filesize 249896 bytes, MD5 6E898F5959E7195D64594C30E9251938)
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime (filesize 77824 bytes, MD5 CD1993092FDC63B215D787801260DEF8)
O4 - HKLM\..\Run: [isxa] isxa.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" (filesize 488984 bytes, MD5 022DB38BECB5A44DA6F7E27923457624)
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide (filesize 774168 bytes, MD5 6B84B11CFAD4173733DD96C810D9BC6F)
O4 - HKLM\..\Run: [LVCOMSX] "C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\LVComSX.exe" (filesize 252704 bytes, MD5 AD7503D6857DBFFC7E5F2E96BC9CC283)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" (filesize 132496 bytes, MD5 D4F0F7437327DBAA264338BAAFB5E5AF)
O4 - HKCU\..\Run: [internat.exe] internat.exe (filesize 20752 bytes, MD5 E20039B24870122916142D4CCDF2AA51)
O4 - HKCU\..\Run: [anti_troj] C:\WINNT\system32\anti_troj.exe
O4 - HKCU\..\Run: [key2] C:\WINNT\system32\winlog.exe
O4 - HKCU\..\Run: [german.exe] C:\WINNT\system32\wintems.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exeC:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exeC:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet (filesize 4670704 bytes, MD5 C7048E3DD4D9FA3AF7BC2747EF5C433F)
O4 - HKCU\..\Run: [AntiSpywareBot] C:\Programme\AntiSpywareBot\AntiSpywareBot.exe -boot (filesize 13690088 bytes, MD5 A914B185FE718347BE03AFE1DC828BEB)
O4 - HKCU\..\Run: [HijackThis startup scan] D:\Software\HijackThis.exe /startupscan
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe (filesize 450560 bytes, MD5 57781B2D6C4DDBF753D820472462E445)
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE (filesize 65588 bytes, MD5 411F69056234AF170FC029C27FE66966)
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZSYYYYYYYYDE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll (filesize 501136 bytes, MD5 D787E3123FAD2BD58AB45B9A5C360ACD)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll (filesize 501136 bytes, MD5 D787E3123FAD2BD58AB45B9A5C360ACD)
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\YAHOO!\COMMON\yhexbmesde.dll (filesize 316552 bytes, MD5 87BEFCE5F8178DD2AB8B87F8C3511A0D)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\YAHOO!\COMMON\yhexbmesde.dll (filesize 316552 bytes, MD5 87BEFCE5F8178DD2AB8B87F8C3511A0D)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (filesize 654 bytes, MD5 D54BC13C29CF06AE0BE21F74CA361B1C)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm (filesize 654 bytes, MD5 D54BC13C29CF06AE0BE21F74CA361B1C)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {1D168290-F3DF-4842-94C3-2862596771FB} (Yahoo! Fotos Easy Upload Tool Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/ydropper/ydropper1_7de.cab
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4CCA4E80-9259-11D9-AC6E-444553544200} - http://h30155.www3.hp.com/ediags/dd/install/HPInstallMgr_v01_5.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/18f624a7f9ed10608d19/netzip/RdxIE601_de.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1197629131634
O16 - DPF: {853B7AC5-1DC9-484C-972B-479E790D4A4D} (CVxChatControl Object) - http://www.visit-x.com/downloads/applet/853B7AC5-1DC9-484c-972B-479E790D4A4D/8,0,0,8/cP-Client-80-light.cab
O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - http://secure2.comned.com/signuptemplates/securelogin-devel.cab
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {BBCACFA8-B901-451E-A606-0FE678814967} (control to view directory & upload images) - http://www.uboot.com/h/int/applet/photo_activex/PhotoUploader.CAB
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game04.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {CE69F98F-2AF3-4306-BAC6-A79070EDA1B4} (Zylom Loader Object) - http://eu.download.games.yahoo.com/zylom/activex/zylomloader.cab
O16 - DPF: {D2982A7F-489A-47F5-A319-FC1F14EBC245} (Navigator Class) - http://www.nutzwerk.de/control/NutzNavi.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - http://www.flatcast.com/de/download/NpFv415.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{579B755F-4E75-4E65-B607-76E517887847}: NameServer = 192.168.120.252,192.168.120.253
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll (filesize 28711 bytes, MD5 57454C455E3E1D28FE92D2721D5759C7)
O20 - Winlogon Notify: iifcbby - C:\WINNT\system32\iifcbby.dllC:\WINNT\system32\iifcbby.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exeC:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exeC:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINNT\system32\drivers\CDAC11BA.EXEC:\WINNT\system32\drivers\CDAC11BA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exeC:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exeC:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exeC:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exec:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exeC:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O24 - Desktop Component 0: (no name) - http://www.wassernet.de/hinter3.jpg
O24 - Desktop Component 1: (no name) - http://ig.img.realnetworks.de/games/images/button_left.gif

Hier mein Logfile zu meinem Problem. Hoffe ich bekomme Hilfe

Danke Manni

BataAlexander · 02.01.2008, 19:03

Zitat:

O4 - HKCU\..\Run: [anti_troj] C:\WINNT\system32\anti_troj.exe
O4 - HKCU\..\Run: [key2] C:\WINNT\system32\winlog.exe
O4 - HKCU\..\Run: [german.exe] C:\WINNT\system32\wintems.exe

Ist nur ein Auszug aus dem Befall bei Dir, aber hier heißt es neu installieren.

Mannimann · 02.01.2008, 22:57

Zitat:

Zitat von BataAlexander

Ist nur ein Auszug aus dem Befall bei Dir, aber hier heißt es neu installieren.

Das heißt soviel wie, das ich Windows 2000 neu aufspielen muß?

Vielen Danke schon mal im Voraus.

No_Scrap · 02.01.2008, 23:47

Allerdings heißt es das!

Und es fehlt (wie so oft hier im Board) mal wieder der Hinweis vom Helfer, wie in Zukunft eine ähnliche Verseuchung vermieden werden kann.

Mache dir also Gedanken darüber wie es zu der Sache kommen konnte.
Eine Epidemie war das auf jeden Fall nicht. Für jeden Befall deines PCs bist du im Prinzip selbst verantwortlich.
Edit: Nehme dir bitte beim Link von BetaAlexander den Absatz "Lesenswerte Lektüre für die Zukunft" zu Herzen.

BataAlexander · 03.01.2008, 01:36

Zitat:

Zitat von No_Scrap

Und es fehlt (wie so oft hier im Board) mal wieder der Hinweis vom Helfer, wie in Zukunft eine ähnliche Verseuchung vermieden werden kann.

Das stimmt so nicht, man muss sich nur die Anleitung komplett durchlesen.

Mannimann · 03.01.2008, 09:35

Hallo,

Ich bedanke mich recht herzlichst für eure Bemühung, das irh mir helfen konntet. Wie das ding da drauf huschen konnte weiß ich leider auch nicht. Der Antivir laüft immer mit und wird alle 3 Tage aufgesfrischt. Aber irgenwie mußte das Trojanische Pferd damals auch eingeschmuggelz worden sein

Gruß Manni

No_Scrap · 03.01.2008, 10:47

Zitat:

Zitat von BataAlexander

Das stimmt so nicht, man muss sich nur die Anleitung komplett durchlesen.

Das reicht leider nicht immer. Wer in diesem Bereich nicht so firm ist wie du, ist schon an seinen Grenzen angelangt wenn er/sie gerade die Hälfte davon durch hat. Deshalb sollte, wenn schon kein extra Hinweis darauf gegeben wird, genau dieser Absatz etwas Hervorgehoben werden.

Zitat:

Zitat von Mannimann

Hallo,
Der Antivir laüft immer mit und wird alle 3 Tage aufgesfrischt.

Es werden täglich ca. zwei Updates bereitgestellt.
Wer sich auf Programme (ich sehe davon mehrere auf deinem PC) verlässt, die seine eigene Verantwortung ersetzen sollen, der muss dann auch wenigstens einmal am Tag updaten.

Ich empfehle dir wirklich mal ein paar Stunden Zeit zu investieren, also den besagten Absatz zu studieren und auf das System "Brain" hinzuarbeiten.
Damit kannst du einiges an systemperformance bremsender, wartungsaufwändiger Software und Scheinsicherheit von deinem Rechner entfernen, ohne dass das Risiko sich Malware einzufangen erhöht wird, im Gegenteil.

Trojaner und kein Ende

Plagegeister aller Art und deren Bekämpfung: Trojaner und kein Ende