Hallo, ich habe Probleme mit einem unliebsamen Gastprogramm, dass mich auf die Seite storageprotector.com verweisen will. Ab und zu entsteht im Taskmanager ein Prozess namens Windows, die die Performance meines PCs ungemein lähmt und sich nicht unterbrechen lässt. Dann generiert es Warnungen und Fehlermeldungen mit einem Link der auf besagte Seite führt. Außerdem habe ich zwei neue unlöschbare Verknüpfungen auf dem Desktop namens "Windows Update" und "Help and Support Center", die ebenfalls auf storageprotector.com verweisen. Und zuletzt habe seitdem ich einen Haufen neuer Dateien auf C:\ die alle nach dem Schema pos1A2.tmp benannt sind und auch wieder unlöschbar sind.
Meine Antispyware Programme sind machtlos dagegen.

Hier der Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:28:05, on 13.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Tools\Adaware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Cyberlink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\CTHELPER.EXE
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Tools\Bittorrent\bittorrent .exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HP\HP Software Update\HPWuSchd2 .exe
C:\Tools\ICQ\ICQ6\ICQ .exe
C:\Tools\Daemon Tools\DAEMON Tools Lite\daemon.exe
C:\Tools\Bittorrent\bittorrent .exe
C:\Tools\ICQ\ICQ6\ICQ .exe
C:\Tools\Daemon Tools\DAEMON Tools Lite\daemon .exe
C:\Tools\Treiber\Maus\MouseWare\system\em_exec.exe
C:\Programme\MSN Messenger\MsnMsgr .Exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\Tools\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.daemon-search.com/startpage

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F3 - REG:win.ini: load=C:\WINDOWS\system32\ddcyw.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [itype] "c:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Tools\Adobe Acrobat Reader\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Tools\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Tools\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Tools\Quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [4c815d9c] rundll32.exe "C:\WINDOWS\system32\lilxoyam.dll",b
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [BitTorrent] "C:\Tools\Bittorrent\bittorrent .exe"
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - HKCU\..\Run: [ICQ ] "C:\Tools\ICQ\ICQ6\ICQ .exe" silent
O4 - HKCU\..\Run: [ICQ ] "C:\Tools\ICQ\ICQ6\ICQ .exe" silent
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Tools\Daemon Tools\DAEMON Tools Lite\daemon.exe"
O4 - HKCU\..\Run: [ICQ] "C:\Tools\ICQ\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [ICQ ] "C:\Tools\ICQ\ICQ6\ICQ .exe" silent
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ICQ ] "C:\Tools\ICQ\ICQ6\ICQ .exe" silent
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Photosmart Premier – Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Tools\ICQ\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Tools\ICQ\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - h**p://www.acclaim.com/cabs/acclaim_v8.cab
O16 - DPF: {BD08A9D5-0E5C-4F42-99A3-C0CB5E860557} (CSolidBrowserObj Object) - h**p://cdn1.acclaimdownloads.com/solidstateion.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Tools\Adaware\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe

--
End of file - 8101 bytes

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\system32\lilxoyam.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
Wenn die Meldung kommt, dass diese Datei schon geprüft wurde, lasse die betreffende Datei dennoch noch einmal prüfen.
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den SHA1 /MD5 und dem Kopf kopieren!)

Und: Verabschiede Dich von derlei Programmen

C:\Tools\Bittorrent\bittorrent.exe

Hallo @Alexander
Die Datei C:\WINDOWS\system32\ddcyw.exe
sollte auch bei VT ausgewertet werden.

Nö, die kenn ich ja schon
Muss ja keine Serverlast erzeugen, wo sie nicht nötig ist.

Datei lilxoyam.dll empfangen 2008.01.14 15:10:45 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 20/32 (62.5%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.1.14.10 2008.01.14 Win-Trojan/Vundo.90176
AntiVir 7.6.0.46 2008.01.14 TR/Vundo.DUP
Authentium 4.93.8 2008.01.13 W32/Trojan2.SUJ
Avast 4.7.1098.0 2008.01.14 -
AVG 7.5.0.516 2008.01.13 Lop
BitDefender 7.2 2008.01.14 Trojan.Vundo.DUP
CAT-QuickHeal 9.00 2008.01.12 AdWare.Virtumonde.din (Not a Virus)
ClamAV 0.91.2 2008.01.13 -
DrWeb 4.44.0.09170 2008.01.14 -
eSafe 7.0.15.0 2008.01.13 -
eTrust-Vet 31.3.5456 2008.01.14 Win32/Vundo.JH
Ewido 4.0 2008.01.14 -
FileAdvisor 1 2008.01.14 -
Fortinet 3.14.0.0 2008.01.14 -
F-Prot 4.4.2.54 2008.01.13 W32/Trojan2.SUJ
F-Secure 6.70.13030.0 2008.01.14 -
Ikarus T3.1.1.20 2008.01.14 Trojan.Vundo.DUP
Kaspersky 7.0.0.125 2008.01.14 not-a-virus:AdWare.Win32.Virtumonde.din
McAfee 5205 2008.01.11 -
Microsoft 1.3109 2008.01.14 Trojan:Win32/Vundo.gen!A
NOD32v2 2789 2008.01.14 Win32/Adware.Virtumonde
Norman 5.80.02 2008.01.11 W32/Virtumonde.JJO
Panda 9.0.0.4 2008.01.13 Spyware/Virtumonde
Prevx1 V2 2008.01.14 Trojan.Vundo
Rising 20.27.02.00 2008.01.14 -
Sophos 4.24.0 2008.01.14 Troj/Virtum-Gen
Sunbelt 2.2.907.0 2008.01.12 -
Symantec 10 2008.01.14 Trojan.Adclicker
TheHacker 6.2.9.187 2008.01.13 -
VBA32 3.12.2.5 2008.01.13 AdWare.Win32.Virtumonde.din
VirusBuster 4.3.26:9 2008.01.13 Adware.Vundo.V.Gen
Webwasher-Gateway 6.0.1 2008.01.14 Trojan.Vundo.DUP
weitere Informationen
File size: 90176 bytes
MD5: 2cbf4ab58869a6a1d72256ede03c9ebd
SHA1: 1261851f9770fa352d92373d6ce5d8ad8ea2527e
PEiD: -
Prevx info: h**p://info.prevx.com/aboutprogramtext.asp?PX5=19ED662540B7E57860B7010ABB23AE00009EFD9D

Zitat:

Und: Verabschiede Dich von derlei Programmen

C:\Tools\Bittorrent\bittorrent.exe

Gibt es eine bessere Alternative? Und schreibst du das, weil die Malware Backdoors geöffnet haben könnte, die durch P2p-Programmen ausnutzbar sind, oder ist das ein allgemeiner Tipp?

Zitat:

Gibt es eine bessere Alternative? Und schreibst du das, weil die Malware Backdoors geöffnet haben könnte, die durch P2p-Programmen ausnutzbar sind, oder ist das ein allgemeiner Tipp?

Alternativen wozu? Zum kostenfreien Download aller möglichen Produkte? Die gibt es nicht!
Und: Backdoors, spezielle Backdoors können alle Programme nutzen um Deinen Rechner zu kompromittieren. Als allgemeiner Tipp ist zu verstehen, nicht alles auf den Rechner zu laden, was bei drei nicht offline ist.

Combofix

- Download ComboFix von hier oder hier auf Deinen Desktop.
- Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
- Mache einen Doppelklick auf combofix.exe
- Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort
Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.

Uff, die beiden Logs übertreffen die maximale Zeichenanzahl um mehr als das Doppelte, ich hab sie deshalb als .txt hochgeladen.

h**p://rapidshare.com/files/84030776/blabla.txt.html

Zitat:

Alternativen wozu? Zum kostenfreien Download aller möglichen Produkte? Die gibt es nicht!

Piraterie hin oder her, eine Menge Seiten bieten alternativ zum regulären Download auch einen Torrent an und sind froh, wenn man ihn benutzt. Geht meist auch schneller.

Das ist ja mal ein Logfile!

Du hast einen Backdoor auf dem Rechner, keinen lustigen und die

bitdefender .exe
deuten auf weiteren Befall hin, da dies Platzhalter sind.

Wo hast Du denn Torrent her? Sicher gibt es mitlerweile auch "legale" Downloads p2p aber das gro sieht anders aus, sind wir doch mal ehrlich.




Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\DOKUME~1\CAESAR~1\LOKALE~1\Temp\krdpdre.sys

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
Wenn die Meldung kommt, dass diese Datei schon geprüft wurde, lasse die betreffende Datei dennoch noch einmal prüfen.
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den SHA1 /MD5 und dem Kopf kopieren!)

Tut mir Leid, aber die Datei krdpdre.sys existiert nicht (mehr). Natürlich habe ich versteckte Ordner anzeigen lassen, doch sie ist nicht da, ich habe auch nach ihr suchen lassen und nichts gefunden.

Zitat:

bitdefender .exe
deuten auf weiteren Befall hin, da dies Platzhalter sind.

Ich kann mich nicht erinnern, Bitdefender jemals installiert zu haben, aber vielleicht lässt mich ja mein Gedächtnis im Stich, ich habe einige Programme ausprobiert.

Was die Platzhalter angeht, mir fällt da ICQ und Bittorrent auf. Interessanterweise die beiden Programme, die seitdem Probleme machen. ICQ loggt sich nicht mehr von alleine ein und Bittorrent will sich immer selbst installieren, obwohl es schon installiert ist (ich hab deinen Rat noch nicht befolgt und es deinstalliert).

Zitat:

Wo hast Du denn Torrent her?

Wie meinen? Wo ich den Client herhab? Das weiß ich nicht mehr genau.

Ich meinte die Bittorrent .exe!
Die sieht serh komisch aus.
Dennoch führt imho an einer Neuinstallation kein Weg vorbei, sry.

Schade...
Danke auf jeden Fall für die Mühen die du dir gemacht hast.
Die Performanceeinbrüche sind immerhin verschwunden und die Desktopsymbole sowie die etlichen Dateien auf C:\ konnte ich nun löschen, aber das werden nicht alle Probleme gewesen sein.

Wenn Du noch nichts gemacht hast, lass uns einen eScan zumindest versuchen.

MWAV (eScan) - Free Antivirus

-> Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.
(rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop)
Dauer des eScan: ca. 2-3 Stunden, je nach System!