Hallo,

ich habe seit gestern ein Programm namens MalwareCrush auf meinem PC, das mich vor angeblichen Viren, Trojanern etc. warnt und mir eine Software für deren Entfernung verkaufen will. AntiVir findet zwar bei seinem Suchlauf zwei MalwareCrush Dateien, welche aber trotz Löschen beim nächsten Neustart wiedr auftauchen. Den Ordner "MalwareCrush" unter "Programme habe ich zwar gelöscht, aber das hat anscheinend noch nicht gereicht...



Hie ist meine HijackThis Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:40:09, on 23.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\iSaver\iSaverCtrl.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\wupeng.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
D:\Eraser\eraser.exe
C:\Programme\Java\jre1.5.0_04\bin\jucheck.exe
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hposol08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~2\BASIS-~1\Basis2\profilemgr.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\T-Online\T-ONLI~2\Notifier\Notifier.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MInfraIS\MInfraIS.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar =

h**p://de.rd.yahoo.com/customize/ie/defaults/sb/ymsgr6/us/*h**p://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

h**p://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*h**p://de.search.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://de.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = eumex.ip;localhost
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} -

C:\PROGRA~1\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet

Explorer\SkypeIEPlugin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} -

C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Programme\PDFCreator

Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Programme\PDFCreator

Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn1\yt.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [iSaverCtrl] C:\Programme\iSaver\iSaverCtrl.exe --startup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [Winupdate Engine] C:\WINDOWS\system32\wupeng.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Eraser] D:\Eraser\eraser.exe -hide
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User

'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User

'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User

'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User

'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: officejet 6100.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet

Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\***\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\***\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - h**p://freeload.cc/secure/ieloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{146E87D5-AF4A-4B6D-8649-8D2AB326BD24}: NameServer = 212.185.249.50
O17 - HKLM\System\CCS\Services\Tcpip\..\{A743B57B-786A-4A39-9473-C6FF0282EFE2}: NameServer = 192.168.178.1
O18 - Protocol: icoo - {4A8DADD4-5A25-4D41-8599-CB7458766220} - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\Skype4COM.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition

Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame

Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Process Monitor (LVPrcSrv) - Unknown owner - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe

(file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O24 - Desktop Component 0: (no name) - http://onnachrichten.t-online.de/c/88/55/17/8855176,tid=i.jpg

--
End of file - 7576 bytes


Hoffentlich kann mir jemand helfen. Danke schonmal im Voraus


Globbi

Globbi, aus der Schweiz?

Führe ein Java Update durch! Deinstalliere vorher alle alten Java Versionen (Systemsteuerung / Software). Durch alte Java Versionen können Schädlinge auf Dein System gelangen. Dies gilt für jegliche Software!

Download FixMC.reg auf Deinen Desktop mit einem Rechtsklick, Datei speichern unter, je nach Browser.

Doppelklicke die FixMC.reg Wenn es fragt "möchten Sie die Informationen.... zusammenführen", dies mit Ja bestätigen.


Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Boote im abgesicherten Modus
-Starte es dann und lass das System Reinigen. (Option 2)



-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans, die C:\rapport.txt

Danke für die schnelle und kompetente Hilfe
Das nervige "Security Alert" Symbol ist aus der Startleiste verschwunden und AntiVir meldet sich auch nicht mehr.

Hier ist mein rapport.txt:

SmitFraudFix v2.274

Scan done at 16:42:16,25, 23.01.2008
Run from C:\Dokumente und Einstellungen\PK\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost
127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix.exe by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\..\{146E87D5-AF4A-4B6D-8649-8D2AB326BD24}: NameServer=212.185.249.50
HKLM\SYSTEM\CCS\Services\Tcpip\..\{2C420A11-A875-4B80-9640-67A403F45BB4}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\..\{A743B57B-786A-4A39-9473-C6FF0282EFE2}: NameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{146E87D5-AF4A-4B6D-8649-8D2AB326BD24}: NameServer=212.185.249.50
HKLM\SYSTEM\CS1\Services\Tcpip\..\{2C420A11-A875-4B80-9640-67A403F45BB4}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{A743B57B-786A-4A39-9473-C6FF0282EFE2}: NameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{146E87D5-AF4A-4B6D-8649-8D2AB326BD24}: NameServer=212.185.249.50
HKLM\SYSTEM\CS2\Services\Tcpip\..\{2C420A11-A875-4B80-9640-67A403F45BB4}: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\..\{A743B57B-786A-4A39-9473-C6FF0282EFE2}: NameServer=192.168.178.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.178.1


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End



PS: Nicht aus der Schweiz, trotzdem ein freundliches "Grüezi" aus Bonn

Globbi

bevor es übersehen wird:
O4 - HKLM\..\Run: [Winupdate Engine] C:\WINDOWS\system32\wupeng.exe
sieht nach diesem kameraden aus:
Troj/DwnLdr-HAE - Trojaner - Sophos Bedrohungsanalyse
ich übergebe dann mal wieder an BataAlexander.

Zitat:

Zitat von boston

C:\WINDOWS\system32\wupeng.exe[/I]

gehört in diesem Fall zu der MC Infektion.

Globbi

RemoveVideoActiveXObject
- Download: RVAXO.exe auf Deinen Desktop.
- Doppelklicke die Datei und wähle "Unzip".
- Jetzt öffne den RVAXO Ordner auf Deinem Desktop. Eventuelle Warunungen durch Dein AV Programm bitte Ignorieren, das Programm enthält keinen Virus, Dein AV Programm merkt aber, das es sich ähnlich verhält.
- In dem Order(RVAXO) sind fünf Dateien, doppelklicke die RVAXO.cmd
- Ein kleines schwarzes Fenster mit schnell laufenden Zeilen wird aufgehen, das ist normal.
- Dann kann es sein, das ein oder mehrere Unistaller von Zweifelhaften Scannern aufgehen. Schließe diese nicht, folge den Anweisungen und lass die Reinigung durchlaufen.
- Nach der Fertigstellung wird der Computer neustarten.
- Nach dem Neustart startet RVAXO mit.
- Wenn es fertig ist, erstelt es eine LogDatei RVAXO-results.log in C:\RVAXO-results.log
- Diese Logdatei dann im Forum posten.

- Um RVAXO wieder zu deinstallieren, kannst Du die Uninstall.cmd verwenden. Diese liegt im RVAXO Ordner auf Deinem Desktop.

Combofix

- Download ComboFix von hier oder hier auf Deinen Desktop.
- Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
- Mache einen Doppelklick auf combofix.exe
- Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort
Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.

Und ein neues HJT.

C:\WINDOWS\system32\wupeng.exe
gehört in diesem Fall zu der MC Infektion.
oh sorry, diesen zusammenhang habe ich übersehen.

Okay, mit dem ersten bin ich fertig.

Hier ist die Logfile von RVAXO:

---RVAXO.exe Updated: 2008-01-15---first run---
Files found:

Uninstallers Rogue scanners:


Folders Found:


Hosts-file was reset, If you use a custom hosts file please replace it...

--------------RVAXO.exe last run---------------

Files found:

Folders Found:

--------------RVAXO.exe finished----------------



Rest kommt gleich...

Ich schreib jetzt von einem anderen Computer aus.

Habe den zweiten Schritt ( Combofix) wie beschrieben durchgeführt und kann jetzt nicht mehr auf das Internet zugreifen. Die Einwahl über T-Online funktioniert zwar aber kein Browser öffnet mehr Internet Seiten. Kann es daran liegen, dass ich meine Firewall deaktiviert und jetzt wieder aktiviert habe? Bitte um schnelle Hilfe weil ich das Internet dringend brauche!

Danke im Vorraus Globbi

Kommt der Rechner den ohne Firewall ins Internet? Wenn ja, die Zone in der Firewall entsprechend neu konfigurieren.
Wenn Du Combofix hast durchlaufen lassen, poste bitte das Log (Stick und rüberkopieren z.B.)

In die Firewall Optionen komme ich garnicht mehr rein und ich glaube,obwohl T-Online "online" als Status anzeigt, ist keine Verbindung zum Internet hergestellt.
Vielleicht ist es am sinnvolten wenn ich einfach mal aufliste was alles an Fehlern auftaucht:

- Der PC braucht extrem lange um hochzufhren und bevor der Desktop normal auftaucht ist erstmal eine Weile leeres Bild und nur der Mouse Pfeil ist zu sehen
- Am unteren Bildschirmrand taucht eine Warnung auf, dass die Firewall deaktiviert sei. Wenn ich die Warnung anklicke und versuche die Firewall zu aktivieren kommt eine Meldung "Die Firewall Einstellungen können nicht geladen werden weil der zugehörige Dienst nicht ausgeführt wird. Soll der Dienst gestarten werden?" Bei "Ja" kommt dann "Der Dienst konnte nicht gestartet werden"
- Beim Anwählen über T-Online Starcenter wird "online" angezeigt und beim öffnen vom T-Online Browser kommt "Fehler beim initialisieren der Windows-Sockets"

Logfiles kann ich leider garkeine posten,weil ich auf meinem eigenen Rechner nicht ins Internet komme und ich bekomme die auch nicht auf den Rechner von dem ich im Moment schreibe.

Hoffe das was ich geschrieben habe reicht um das problem zu erkennen/lösen.
Bin total verzweifelt, weil ich dringend meinen Zugang wieder brauche

Danke dass du am Ball bleibst BataAlexander

Versuche bitte folgendes abzuarbeiten:

SDFIX ausführen

Download SDFix und speichere es auf dem Desktop.
Mache einen Doppelklick auf die SDFix.exe und wähle "Install" um es in den Ordner X:\SDFix zu entpacken
(X = Dein Windowslaufwerk)

• Bitte starte Deinen Pc im abgesicherten Modus neu

• Starte den PC neu

• Nachdem dein Rechner einmal bei starten gepiept hat, bevor das Windows Logo erscheint, drücke die F8 Taste mehrfach

• Anstatt Windows normal zu starten wird ein Menü erscheinen

• Wähle die Option "Starte Windows im abgesicherten Modus", dann drücke "Enter"

• Wähle Deinen Anmeldenamen

• Im abgesicherten Modus, gehst Du zum SDFix Ordner X:\SDFix (X = Dein Windowslaufwerk)

• Öffne den Ordner und doppelklicke die Datei RunThis.bat um das Script zu starten

• Drücke "Y" um das Script zu starten.

• Es entfernt bösartige Dienste und repariert die Registry. Wenn es durchgelaufen ist, bittet es eine Taste zu drücken um zu rebooten.

• Drücke eine Taste um zu reboooten.

• Dein System wird länger brauchen um jetzt wieder im normalen Modus zu starten, denn das fixtool startet mit und löscht noch einige Dateien.

• Wenn der Desktop geladen ist, ist das Fixtool mit der Bereinigung fertig und sagt das auch, jetzt drücke eine Taste um das Script zu beenden und Deinen Desktop zu laden.

• Jetzt öffne den SDFix Ordner auf Deinem Desktop und copy & paste den Inhalt der Report.txt in Deinen Thread.

WOW ging das schnell :aplaus:

Okay, dann brenn ich mir das genannte Tool jetzt und probiere es auf meinem Rechner aus... I'll be back (...hoffentlich )

Ist erstmal nur ne grobe Vermutung.

Habe alles wie beschrieben durchgeführt, leider ohne Erfolg. Gibt es noch irgendwelche anderen Möglichkeiten,die man ausprobieren könnte? Ansonsten muss ich wohl alles neu installieren...

Wenn Du an den Rechner dran kommst, wär ich immer noch an dem Combofix Log interessiert, das könnte helfen, das Report.txt von SDfix natürlich auch.