Hallo zusammen,
das Notebook eines freundes ist mit diversen Viren und Trojanern befallen.
Er hat "klugerweise" keine Antiviren Software drauf gehabt. naja Kumpel wie ich nun mal bin hab ich gesagt ich helf ihm mal.

Also AntiVir von Avira drauf, Spybot Search & Destroy, Ad-Aware 2007 und Hijack This drauf.

AntiVir durchlaufen lassen - hat auch diverse Viren gefunden und in Quarantäne gestellt bis auf diesen lästigen Bazillus WLCtrl32.dll und WinCtrl32.dll.
Dann Spybot laufen lassen und da auch ein paar Punkte bereinigen lassen.
Zu guter letzt noch Ad-Aware laufen lassen und auch hier so ein paar Sachen bereinigen lassen.

Nach Neustart der Kiste war schon mal einiges bereinigt aber AntiVir hat gleich wieder Alarm geschlagen bei WLCtrl32.dll und WinCtrl32.dll.

Da es mir nicht gelungen ist diese Schädlinge in Quarantäne zu feuern und es auch nichts gebracht hat diesen den Zugriff zu verbieten habe ich hier gestöbert und bin auf den Thread hier gestossen: http://www.trojaner-board.de/49772-tr-agent-lnb.html
im 5ten Post hat root24 was geschrieben was ich auch getan habe.

Nur leider war das Tool Avenger (anscheinend?) nicht 100% erfolgreich daraufhin habe ich diesen Thread hier abgearbeitet: http://www.trojaner-board.de/42731-escan-anleitung.html
Ich bin jetzt aber ein bisschen mit meinem Latein am Ende, was benötigt Ihr um mir helfen zu können?
Das Logfile von e.Scan und Hijack This ganz sicher soll ich vorher noch was anderes ausführen?

Vielen Dank an Euch
Gruß Meyer

Man kann auch ohne Virenscanner schädlingsfrei bleiben aber lassen wir das ich schweife sonst ab

Erstell mal Logfiles mit diesen Programmen (siehe meine Signatur):

- silentrunners
- blacklight

Poste auch mal die bisherigen Logfiles bevor Du was bereinigt hast v.a. das HijackThis logfile. Wichtig auch die Logfiles der Viren-/Spywarescanner. Wenns geht die Logfiles hier mit [code] tags umschlossen posten, falls die Logs zu groß sein sollten, kannst Du auch alle in ein Ziparchiv packen und z.B. bei File-Upload.net hochladen und hier verlinken.

Hallo root24,

Danke werde ich machen. Kann es sein das der Schädling WLCtrl32.dll ein Keylogger ist?

Gruß Meyer

Zitat:

Zitat von meyerzwo

Kann es sein das der Schädling WLCtrl32.dll ein Keylogger ist?

Klar wieso nicht? Das kann ein x-beliebiger Schädling sein, denn Dateinamen sind frei wählbar.

Zitat:

Zitat von root24

Klar wieso nicht? Das kann ein x-beliebiger Schädling sein, denn Dateinamen sind frei wählbar.

Stimmt schon

Blacklight Scan läuft noch, Silentrun st schon fertig, ich mach danach noch mal ein neues Hijack This Logfile.

Mir ist aufgefallen, dass wenn ich den Rechner im abgesicherten Modus mit Eingabeaufforderung starte der Schädling WLCtrl32.dll nicht im Ordner sytem32 liegt die Datei WinCtrl32.dll ist jedoch nach wievor vorhanden und im Order system32.dll

So ich poste gleich mal die Logfiles
Gruß Meyer

Logfile DSS (main.txt):

Deckard's System Scanner v20071014.68
Run by rh on 2008-05-22 15:21:19
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
29: 2008-05-22 13:21:27 UTC - RP29 - Deckard's System Scanner Restore Point
28: 2008-05-21 21:47:04 UTC - RP28 - Spybot-S&D Spyware removal
27: 2008-05-21 17:20:20 UTC - RP27 - Installed Ad-Aware 2007
26: 2008-05-21 17:09:31 UTC - RP26 - Avira AntiVir Personal - 21.05.2008 19:09
25: 2008-05-15 16:59:38 UTC - RP25 - Last known good configuration


-- First Restore Point --
1: 2008-05-15 16:59:28 UTC - RP1 - Systemprüfpunkt


Backed up registry hives.
Performed disk cleanup.

Total Physical Memory: 496 MiB (512 MiB recommended).


-- HijackThis (run as rh.exe) --------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:23:35, on 22.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\Toshiba\INSTAN~1\IWCTRL.EXE
C:\Programme\avmwlanstick\wlangui.exe
C:\Programme\Reader\Reader_sl.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\avmwlanstick\WlanNetService.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
E:\dss.exe
C:\PROGRA~1\TRENDM~1\HIJACK~1\rh.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C0F6730-2069-46B5-AD47-8E822B7FEE2F} - C:\WINDOWS\system32\khfEXqRH.dll (file missing)
O4 - HKLM\..\Run: [IW Controlcenter] C:\PROGRA~1\Toshiba\INSTAN~1\IWCTRL.EXE
O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MalWarrior] "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\MalWarrior 2008\Malwarrior.exe" /autorun
O4 - HKCU\..\RunOnce: [SpybotDeletingB1861] command /c del "C:\WINDOWS\system32\khfEXqRH.dll_old"
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 4379 bytes

-- File Associations -----------------------------------------------------------

.reg - regfile - shell\open\command - regedit.exe "%1" %*
.scr - scrfile - shell\open\command - "%1" %*


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R0 pwA60 - c:\windows\system32\drivers\pwa60.sys
R1 Asapi - c:\windows\system32\drivers\asapi.sys <Not Verified; VOB Computersysteme GmbH; asapi>
R1 CDRDRV - c:\windows\system32\drivers\cdrdrv.sys <Not Verified; VOB Computersysteme GmbH; InstantWrite>
R1 ssmdrv - c:\windows\system32\drivers\ssmdrv.sys <Not Verified; AVIRA GmbH; >
R1 vobcom - c:\windows\system32\drivers\vobcom.sys <Not Verified; VOB Computersysteme GmbH; InstantWrite>
R1 vobiw - c:\windows\system32\drivers\vobiw.sys <Not Verified; VOB Computersysteme GmbH; InstantWrite>

S0 Hlp16 - c:\windows\system32\drivers\hlp16.sys (file missing)
S0 Jnq71 - c:\windows\system32\drivers\jnq71.sys (file missing)
S0 Wdg25 - c:\windows\system32\drivers\wdg25.sys (file missing)
S1 vobfat - c:\windows\system32\drivers\vobfat.sys <Not Verified; VOB Computersysteme GmbH; InstantWrite>
S3 avmeject (AVM Eject) - c:\windows\system32\drivers\avmeject.sys <Not Verified; AVM Berlin; AVM CD-Eject Filter Driver>


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

R2 AntiVirScheduler (Avira AntiVir Personal – Free Antivirus Planer) - "c:\programme\avira\antivir personaledition classic\sched.exe" <Not Verified; Avira GmbH; AntiVir Workstation>
R2 AVM WLAN Connection Service - c:\programme\avmwlanstick\wlannetservice.exe <Not Verified; AVM Berlin; AVM AVMWlanService>


-- Device Manager: Disabled ----------------------------------------------------

No disabled devices found.


-- Files created between 2008-04-22 and 2008-05-22 -----------------------------

2008-05-22 14:31:28 0 d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-05-22 14:31:17 29056 --a------ C:\WINDOWS\system32\drivers\pwA60.sys
2008-05-22 13:10:51 0 d-a------ C:\WINDOWS\zts2.exe
2008-05-22 13:10:51 0 d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-05-22 13:10:51 0 d-a------ C:\WINDOWS\system32\systems.txt
2008-05-22 13:10:51 0 d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-05-22 13:10:51 0 d-a------ C:\WINDOWS\rundll16.exe
2008-05-22 13:10:51 0 d-a------ C:\WINDOWS\rundl132.dll
2008-05-22 13:10:51 0 d-a------ C:\WINDOWS\logo1_.exe
2008-05-22 12:54:51 14081 --a------ C:\find.bat
2008-05-22 12:51:24 135168 --a------ C:\zip.exe
2008-05-22 12:51:24 19286 --a------ C:\cleanup.exe
2008-05-22 12:51:24 574 --a------ C:\cleanup.bat
2008-05-22 12:31:24 14336 --a------ C:\WINDOWS\system32\WinCtrl32.dll
2008-05-21 19:20:49 0 d-------- C:\Programme\Lavasoft
2008-05-21 19:17:27 0 d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-05-21 19:15:03 0 d-------- C:\Programme\Trend Micro
2008-05-21 19:09:45 0 d-------- C:\Programme\Avira
2008-05-15 19:58:54 0 d-------- C:\Programme\CenterLock
2008-05-15 18:59:17 296716 --ahs---- C:\WINDOWS\system32\HRqXEfhk.ini2
2008-05-15 18:54:40 12288 --a------ C:\WINDOWS\system32\WLCtrl32.VIR


-- Find3M Report ---------------------------------------------------------------

2008-05-22 14:32:27 0 d-------- C:\Dokumente und Einstellungen\rh\Anwendungsdaten\Malwarebytes
2008-05-21 20:21:55 0 d-------- C:\Dokumente und Einstellungen\rh\Anwendungsdaten\TmpRecentIcons
2008-05-21 19:17:27 0 d-------- C:\Programme\Gemeinsame Dateien
2008-04-27 17:41:29 317168 --a------ C:\WINDOWS\system32\perfh007.dat
2008-04-27 17:41:29 48552 --a------ C:\WINDOWS\system32\perfc007.dat
2008-03-05 19:30:42 2068 --a------ C:\WINDOWS\system32\d3d9caps.dat


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{5C0F6730-2069-46B5-AD47-8E822B7FEE2F}]
C:\WINDOWS\system32\khfEXqRH.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IW Controlcenter"="C:\PROGRA~1\Toshiba\INSTAN~1\IWCTRL.EXE" [05.07.2001 16:37]
"AVMWlanClient"="C:\Programme\avmwlanstick\wlangui.exe" [28.12.2006 01:02]
"Adobe Reader Speed Launcher"="C:\Programme\Reader\Reader_sl.exe" [10.10.2007 20:51]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [12.02.2008 10:06]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [28.01.2008 11:43]
"MalWarrior"="C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Adsl Software Limited\MalWarrior 2008\Malwarrior.exe" []

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce]
"SpybotDeletingB1861"=command /c del "C:\WINDOWS\system32\khfEXqRH.dll_old"

C:\Dokumente und Einstellungen\All Users\Startmen�\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [17.02.1999 22:05:56]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
"DisableTaskMgr"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WinCtrl32]
WinCtrl32.dll 22.05.2008 15:18 14336 C:\WINDOWS\system32\WinCtrl32.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\khfEXqRH

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Hlp16.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Jnq71.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\pwA60.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdg25.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" /background




-- Hosts -----------------------------------------------------------------------

127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 Command - Keeping Software Free
127.0.0.1 032439.com

8520 more entries in hosts file.


-- End of Deckard's System Scanner: finished at 2008-05-22 15:25:01 ------------