Hallo ihr Lieben,

bei mir erscheint sobald ich mich ins Internet einwähle
in der Taskleiste unten rechts ..... wo auch die Uhr und der Lautsprecher ist
ein gelbes dreieckiges Icon mit einem schwarzen Ausrufezeichen
und der Hinweis auf einer kleinen Tafel "system message - und irgendwas mit click here "

Nach kurzer Zeit verschwindet es wieder.
Störend ist, wenn ich google, das ich dann öfter auf einer anderen Seiten lande als die angeklickte.

Spybot habe ich eben schon probiert im abgesicherten Modus, klappte aber leider nicht.

Vielleicht ist ja einer so lieb und schaut sich das mal an und hat Eventuell ein Hinweis wie ich den Mist von der Platte bekomme.

Hier mal der Logfile mit Hijack.



Logfile of HijackThis v1.99.1
Scan saved at 18:32:02, on 03.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\soundman.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\kmmumsfu.exe
C:\WINDOWS\system32\ctfmon.exe
D:\KN\virus\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {58816A62-77BD-42AC-AA85-392AD5C09DDC} - C:\WINDOWS\system32\dpvoicem.dll
O2 - BHO: (no name) - {5EE848B0-7C76-4D13-AFB6-4211B8BAFBD2} - c:\windows\system32\dmstylet.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [kmmumsfu] C:\WINDOWS\system32\kmmumsfu.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [kmmumsfu] C:\WINDOWS\system32\kmmumsfu.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: uownrgwf - C:\WINDOWS\SYSTEM32\dmstylet.dll
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

Zitat:

ein gelbes dreieckiges Icon mit einem schwarzen Ausrufezeichen
und der Hinweis auf einer kleinen Tafel "system message - und irgendwas mit click here "

Das Drecksviech nennt sich Zlob. Mehr dazu später. Denn ich befürchte du hast weitaus Schlimmeres im System:

C:\WINDOWS\system32\dpvoicem.dll
c:\windows\system32\dmstylet.dll
C:\WINDOWS\system32\kmmumsfu.exe

Werte diese Dateien nacheinander bei Virustotal aus und poste die Ergebnisse inkl. MD5/SHA-1.

Hallo root24,
erst einmal vielen Dank für deine Hilfe

Hier die Auswertung der Dateien:


C:\WINDOWS\system32\dpvoicem.dll

Die Datei wurde bereits analysiert:
MD5: 33c56190acebb1e46dfc0186ecc39c5b
Datum 2008.02.28 08:45:13 (CET) [>4D]
Ergebnisse 6/32
Permalink: analisis/229b46efd319337f31d282dec9099aa6

Datei dpvoicem.dll empfangen 2008.03.03 19:25:35 (CET)
Status: Beendet
Ergebnis: 6/32 (18.75%)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.4.0 2008.03.03 -
AntiVir 7.6.0.73 2008.03.03 -
Authentium 4.93.8 2008.03.02 -
Avast 4.7.1098.0 2008.03.02 -
AVG 7.5.0.516 2008.03.03 -
BitDefender 7.2 2008.03.03 -
CAT-QuickHeal 9.50 2008.03.01 -
ClamAV 0.92.1 2008.03.03 -
DrWeb 4.44.0.09170 2008.03.03 -
eSafe 7.0.15.0 2008.02.28 -
eTrust-Vet 31.3.5582 2008.03.03 Win32/Kvol!generic
Ewido 4.0 2008.03.03 -
FileAdvisor 1 2008.03.03 -
Fortinet 3.14.0.0 2008.03.03 -
F-Prot 4.4.2.54 2008.03.02 -
F-Secure 6.70.13260.0 2008.03.03 -
Ikarus T3.1.1.20 2008.03.03 Virus.Trojan.Win32.Pakes.cdw
Kaspersky 7.0.0.125 2008.03.03 -
McAfee 5243 2008.03.03 -
Microsoft 1.3301 2008.03.03 Trojan:Win32/Boaxxe.B
NOD32v2 2918 2008.03.03 -
Norman 5.80.02 2008.03.03 -
Panda 9.0.0.4 2008.03.02 Suspicious file
Prevx1 V2 2008.03.03 Generic.Malware
Rising 20.34.02.00 2008.03.03 -
Sophos 4.27.0 2008.03.03 -
Sunbelt 3.0.906.0 2008.02.28 -
Symantec 10 2008.03.03 -
TheHacker 6.2.92.231 2008.03.02 -
VBA32 3.12.6.2 2008.02.27 -
VirusBuster 4.3.26:9 2008.03.03 -
Webwasher-Gateway 6.6.2 2008.03.03 Win32.NewMalware.WU!88064!5
weitere Informationen
File size: 88064 bytes
MD5: 33c56190acebb1e46dfc0186ecc39c5b
SHA1: 3f8abfbf61a506fbad6ade1145e326d0b2db8a43
PEiD: -
packers: UPX
packers: UPX
packers: PE_Patch.UPX, UPX
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=EE54D50B00E6B17E582901636F3D3A0045E662EA



c:\windows\system32\dmstylet.dll

Die Datei wurde bereits analysiert:
MD5: d2dc5276be9b3fff72be2d365972ed0a
Datum 2008.02.28 12:41:17 (CET) [>4D]
Ergebnisse 6/32
Permalink: analisis/17e33f19deda6db8ea9636ca25f2f96e

Datei dmstylet.dll empfangen 2008.03.03 19:51:21 (CET)
Status: Beendet
Ergebnis: 5/32 (15.63%)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.4.0 2008.03.03 -
AntiVir 7.6.0.73 2008.03.03 -
Authentium 4.93.8 2008.03.02 -
Avast 4.7.1098.0 2008.03.02 -
AVG 7.5.0.516 2008.03.03 -
BitDefender 7.2 2008.03.03 -
CAT-QuickHeal 9.50 2008.03.01 -
ClamAV 0.92.1 2008.03.03 -
DrWeb 4.44.0.09170 2008.03.03 -
eSafe 7.0.15.0 2008.02.28 -
eTrust-Vet 31.3.5582 2008.03.03 -
Ewido 4.0 2008.03.03 -
FileAdvisor 1 2008.03.03 -
Fortinet 3.14.0.0 2008.03.03 -
F-Prot 4.4.2.54 2008.03.02 -
F-Secure 6.70.13260.0 2008.03.03 -
Ikarus T3.1.1.20 2008.03.03 -
Kaspersky 7.0.0.125 2008.03.03 -
McAfee 5243 2008.03.03 -
Microsoft 1.3301 2008.03.03 -
NOD32v2 2918 2008.03.03 probably a variant of Win32/Rootkit.Agent.QQ
Norman 5.80.02 2008.03.03 -
Panda 9.0.0.4 2008.03.02 Suspicious file
Prevx1 V2 2008.03.03 Trojan.Vundo
Rising 20.34.02.00 2008.03.03 -
Sophos 4.27.0 2008.03.03 Mal/EncPk-CL
Sunbelt 3.0.906.0 2008.02.28 -
Symantec 10 2008.03.03 -
TheHacker 6.2.92.231 2008.03.02 -
VBA32 3.12.6.2 2008.02.27 -
VirusBuster 4.3.26:9 2008.03.03 -
Webwasher-Gateway 6.6.2 2008.03.03 Win32.Malware.gen (suspicious)
weitere Informationen
File size: 85504 bytes
MD5: d2dc5276be9b3fff72be2d365972ed0a
SHA1: 34c3645f084f956d3e9205225add6a0e26ce6803
PEiD: -
packers: UPX
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=521FC0560064FCFD4EB4010C6DF8CB00627B975E



C:\WINDOWS\system32\kmmumsfu.exe

Datei kmmumsfu.exe empfangen 2008.03.03 20:00:56 (CET)
Status: Beendet
Ergebnis: 13/32 (40.63%)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.4.0 2008.03.03 -
AntiVir 7.6.0.73 2008.03.03 TR/Crypt.Morphine.Gen
Authentium 4.93.8 2008.03.02 -
Avast 4.7.1098.0 2008.03.02 -
AVG 7.5.0.516 2008.03.03 Packed.Morphine.c
BitDefender 7.2 2008.03.03 -
CAT-QuickHeal 9.50 2008.03.01 (Suspicious) - DNAScan
ClamAV 0.92.1 2008.03.03 -
DrWeb 4.44.0.09170 2008.03.03 -
eSafe 7.0.15.0 2008.02.28 Suspicious File
eTrust-Vet 31.3.5582 2008.03.03 -
Ewido 4.0 2008.03.03 -
FileAdvisor 1 2008.03.03 -
Fortinet 3.14.0.0 2008.03.03 -
F-Prot 4.4.2.54 2008.03.02 W32/Heuristic-114!Eldorado
F-Secure 6.70.13260.0 2008.03.03 Suspicious:W32/Malware!Gemini
Ikarus T3.1.1.20 2008.03.03 -
Kaspersky 7.0.0.125 2008.03.03 Heur.Trojan.Generic
McAfee 5243 2008.03.03 -
Microsoft 1.3301 2008.03.03 VirTool:Win32/Obfuscator.Q
NOD32v2 2918 2008.03.03 a variant of Win32/Small.BB
Norman 5.80.02 2008.03.03 -
Panda 9.0.0.4 2008.03.03 Suspicious file
Prevx1 V2 2008.03.03 -
Rising 20.34.02.00 2008.03.03 -
Sophos 4.27.0 2008.03.03 Mal/EncPk-CL
Sunbelt 3.0.906.0 2008.02.28 -
Symantec 10 2008.03.03 Backdoor.Trojan
TheHacker 6.2.92.231 2008.03.02 -
VBA32 3.12.6.2 2008.02.27 -
VirusBuster 4.3.26:9 2008.03.03 -
Webwasher-Gateway 6.6.2 2008.03.03 Trojan.Crypt.Morphine.Gen
weitere Informationen
File size: 17408 bytes
MD5: f4ec284158a2a8f81b03095893857475
SHA1: ceeb722d335d4d23239d6d4c21ba470b59bc32b0
PEiD: -
packers: UPX

Du hast größtenteils neue/unbekannte Malware auf dem PC. Da es sich bei einem um eine Variente von Win32/Rootkit.Agent.QQ handeln kann, würde ich definitiv auf Nummer sicher gehen und das System kurzerhand flachmachen und neu aufsetzen.

Ist ein Surfen mit "Mozilla" eigentlich sicherer als mit IE ?

Ich habe eigentlich nur nach GIF Bilder gesucht mit Google

Gibt es keine andere Möglichkeit als neu aufzusetzen ???

Zitat:

Gibt es keine andere Möglichkeit als neu aufzusetzen ???

man könnte eine Bereinigung probieren. Da man aber nun vom schlimmsten Fall ausgehen sollte (und das ist Ein Rootkit-Befall!) ist es allemal sicherer die Kiste neu aufzusetzen.

Zitat:

Ist ein Surfen mit "Mozilla" eigentlich sicherer als mit IE ?

Ja. Besser mit eingeschränkten Rechten und stets aktuellem Firefox.