Hallo Leute, ich hoffe, mir kann hier jemadhelfen. Ich abe mir vor einigen Tagen scheinbar 2 Tojanr ingefangen, bekam auch von AntiVir ne Warnug, worauhin ich "löschen" anklickte. Brachte aber nichts. Dann ließ ich AdAware und Spybot laufen, kein Erfolg. Fixen mit Hijack bringt auch nix, selbst im abgesicherten Modus nicht. Wie werde ich die Dinger denn los und hab ich evtl noch mehr aks die zwei Dinger drauf?
Ich vermute, dass die Dinger dafür veatworlich sind, dass mein Windows Explorer und Firefox alle 2 Minuten abstürzen.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:39:49, on 15.06.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16681)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Windows\explorer.exe
C:\Program Files\ICQLite\ICQLite.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.msi.com.tw
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O2 - BHO: (no name) - {FAAF4503-E52D-4B3B-9B12-D408F13AD817} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\geBSmLby.dll,#1
O4 - HKLM\..\Run: [UVS11 Preload] C:\Program Files\Ulead Systems\Ulead VideoStudio 11\uvPL.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSSMSGS] rundll32.exe winfcm32.rom,zQDRun
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\***\AppData\Local\Temp\khFxUNeF.dll,c
O4 - HKCU\..\Run: [BM79eb8eed] Rundll32.exe "C:\Users\***\AppData\Local\Temp\gkcpihsm.dll",s
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe
O13 - Gopher Prefix:
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - h**p://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Capture Device Service - Unknown owner - C:\Program Files\Common Files\InterVideo\DeviceService\DevSvc.exe (file missing)
O23 - Service: dlbt_device - - C:\Windows\system32\dlbtcoms.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: SCM Driver Daemon (NishService) - Unknown owner - C:\Program Files\System Control Manager\edd.exe
O23 - Service: O2Micro Flash Memory (O2Flash) - O2Micro International - C:\Windows\system32\o2flash.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32\TuneUpDefragService.exe

--
End of file - 6571 bytes

Hi,

bin kein Vista-Spezialist, daher erst scannen und nur wenn erkannt im Script stehen lassen!

Bitte folgende Files prüfen (Pfade anpassen!):

Zitat:

C:\Windows\system32\geBSmLby.dll
C:\Users\***\AppData\Local\Temp\khFxUNeF.dll
C:\Users\***\AppData\Local\Temp\gkcpihsm.dll
C:\Windows\system32\winfcm32.rom

VirusTotal - Free Online Virus and Malware Scan
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Achtung: Pfade anpassen!

Code: Alles auswählenAufklappen

ATTFilter

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|BM79eb8eed
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|cmds
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|MSServer
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|MSSMSGS
 
Files to delete:
C:\Windows\system32\geBSmLby.dll
C:\Users\***\AppData\Local\Temp\khFxUNeF.dll
C:\Users\***\AppData\Local\Temp\gkcpihsm.dll
C:\Windows\system32\winfcm32.rom <-prüfen
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\geBSmLby.dll,#1
O4 - HKCU\..\Run: [MSSMSGS] rundll32.exe winfcm32.rom,zQDRun
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\***\AppData\Local\Temp\khFxUNeF.dll,c
O4 - HKCU\..\Run: [BM79eb8eed] Rundll32.exe "C:\Users\***\AppData\Local\Temp\gkcpihsm.dll" ,s
         

Neues HJ-Log und Scanne/Beseitige mit Antimalewarebyte, poste auch dieses Log!
http://www.trojaner-board.de/51187-a...i-malware.html



Chris

Gehe wiefolgt vor


Bitte öffne Deine HijackThis nochmal und scanne. Check die klickboxen neben den Einträgen die untenstehend gelistet sind.

O2 - BHO: (no name) - {FAAF4503-E52D-4B3B-9B12-D408F13AD817} - (no file)
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\geBSmLby.dll,#1
O4 - HKCU\..\Run: [MSSMSGS] rundll32.exe winfcm32.rom,zQDRun
O4 - HKCU\..\Run: [cmds] rundll32.exe C:\Users\***\AppData\Local\Temp\khFxUNeF.dll,c
O4 - HKCU\..\Run: [BM79eb8eed] Rundll32.exe "C:\Users\***\AppData\Local\Temp\gkcpihsm.dll",s


(file missing)dann Klicke Fix Checked. Schließe HiJackThis. Reboot im abgesicherten Modus.


Benutze den Windows Explorer (um dahin zu kommen, mache einen Rechtsklick auf dem Start Button und klicke auf "Explorer"), bitte lösche diese Dateien (wenn vorhanden):

C:\Windows\system32\geBSmLby.dll
C:\Users\***\AppData\Local\Temp\gkcpihsm.dll
C:\Users\***\AppData\Local\Temp\khFxUNeF.dll

Dann starte den Rechner im normalen Modus neu.

Vistafindbat

- download von VistaFindbat. zip auf Deinen desktop
- öffne mit einem doppelklick die zip datein
- starte mit einem rechtsklick auf die datei vistafind.bat (als administrator starten) das stapelverarbeitungsprogramm
- Dein bevorzugtes textverarbeitungsprogramm wird sich öffnen
- markiere den inhalt und füge in hier im forum in deinem beitrag ein.
wichtig: logfile bitte im tag (das Raute Symbol) posten
- formatiere nun Deinen beitrag vor dem speichern, in dem du alle texte, die ein älteres datum besitzen, als die letzten 30 tage, aus der liste löscht.

das sind alle verzeichnisse, die mit dieserVistaFind.bat ausgelesen werden. Verzeichnis von C:\
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\system
Verzeichnis von C:\WINDOWS\system32 --> von hier bitte alles posten
Verzeichnis von C:\USER\Name\Temp
Verzeichnis von C:\WINDOWS\Prefetch
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\USER\Name\Temp
Verzeichnis von C:\Program Files\ --> hier alles posten
lösche die datei vistafind.txt

Danke@BataAlexander!!!!!!! Hat super geklappt. Allerdings bekomme ich, wenn ich jetzt normal starte die Fehlermeldung:

Fehler beim Laden von C:\Windows\system32\geBSmLby.dll
Das angegebene Modul wurde nicht gefunde.

Ist nicht weiter schlimm, aber kann ich diese Fehlermeldung irgendwie entfernen?

Ok, ich hab mal Vistafindbat laufen lassen. Das kam dabei raus.
Sorry, aber ich habe quasi null Ahnung von PC, was meinst du mit Logfile im Tag posten?


Verzeichnis von C:\Windows\system32

16.06.2008 16:03 3.072 7B296FB0-376B-497e-B012-9C450E1B7327-2P-1.C7483456-A289-439d-8115-601632D005A0
16.06.2008 16:03 3.072 7B296FB0-376B-497e-B012-9C450E1B7327-2P-0.C7483456-A289-439d-8115-601632D005A0
15.06.2008 23:23 610.142 perfh009.dat
15.06.2008 23:23 103.924 perfc009.dat
15.06.2008 23:23 641.344 perfh007.dat
15.06.2008 23:23 116.706 perfc007.dat
15.06.2008 23:23 1.461.736 PerfStringBackup.INI
14.06.2008 09:22 394.504 FNTCACHE.DAT
13.06.2008 11:51 32.768 winfcm32.rom
12.06.2008 15:04 355.584 TuneUpDefragService.exe
30.05.2008 00:35 17.486.968 mrt.exe
17.05.2008 14:56 28.416 uxtuneup.dll
17.05.2008 14:56 16.640 authuitu.dll
16.05.2008 10:58 12.632 lsdelete.exe

Verzeichnis von C:\Program Files

15.06.2008 19:38 <DIR> .
15.06.2008 19:38 <DIR> ..
13.06.2008 12:26 <DIR> SmartSound Software
15.06.2008 19:38 <DIR> Trend Micro
12.06.2008 15:05 <DIR> TuneUp Utilities 2008
13.06.2008 12:07 <DIR> Ulead Systems
13.06.2008 12:13 <DIR> Windows Media Components

1 Datei(en), 43 Bytes
73 Verzeichnis(se), 2.767.302.656 Bytes frei

Sorry Chris, hab nicht gesehen, das Du hier auch am posten warst.

Lasse wie von Chris vorgschlagen nun bitte Malwarebytes durchlaufen und poste den Bericht hier. Dann sollte die Fehlermeldung auch nicht mehr erscheinen.

@BataAlexander
Macht nichts...
Falls der Run-Key von Antimalewarebyte nicht gelöscht wird, machen wir das per Hand oder Bobbi (Fleckmanns Registry-search)...
chris

Hier ist die Auswertung von Avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows Vista

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error: file "C:\Windows\system32\geBSmLby.dll" not found!
Deletion of file "C:\Windows\system32\geBSmLby.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Users\***\AppData\Local\Temp\khFxUNeF.dll" not found!
Deletion of file "C:\Users\***\AppData\Local\Temp\khFxUNeF.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: file "C:\Users\***\AppData\Local\Temp\gkcpihsm.dll" not found!
Deletion of file "C:\Users\***AppData\Local\Temp\gkcpihsm.dll" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not open file "C:\Windows\system32\winfcm32.rom <-prüfen"
Deletion of file "C:\Windows\system32\winfcm32.rom <-prüfen" failed!
Status: 0xc0000033 (STATUS_OBJECT_NAME_INVALID)
--> an object cannot have this name


Error: could not delete registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|BM79eb8eed"
Deletion of registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|BM79eb8eed" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not delete registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|cmds"
Deletion of registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|cmds" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not delete registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|MSServer"
Deletion of registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|MSServer" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Error: could not delete registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|MSSMSGS"
Deletion of registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|MSSMSGS" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist


Completed script processing.

*******************

Finished! Terminate.