ebenfalls VIRUS ALERT

Halli_G · 03.07.2008, 22:12

Hallo Zusammen.

habe ebenfalls das Problem mit dem VIRUS ALTER in der Taskleiste.
nur etwas anders als bis jetzt schon beschrieben, habe die anderen Beiträge schon gelesen.

Habe Malware-AntiMaleware nicht auf meinem Rechner. Leider lässt sich nichts installieren, d.h. beim Doppelklick passiert einfach nichts.
ComboFix funktioniert auch nicht.
Auf den Taskmanager kann ich wieder zugreifen.

Anbei Hijack.txt

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:11: VIRUS ALERT!, on 03.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\acs.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\MATLAB7\webserver\bin\win32\matlabserver.exe
C:\Programme\SolidWorks\COSMOS\FloWorks\binCFW\StandAloneSlv.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\NETGEAR\WG311T\wlancfg5.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\WgaTray.exe
C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\Hijack\HijackThis.exe

R3 - Default URLSearchHook is missing
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\programme\softwin\bitdefender professional edition\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [b8469b5f] rundll32.exe "C:\WINDOWS\system32\wadmpjpw.dll",b
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AdobeUpdater] C:\Programme\Gemeinsame Dateien\Adobe\Updater5\AdobeUpdater.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: NETGEAR WG311T Smart Wizard.lnk = C:\Programme\NETGEAR\WG311T\wlancfg5.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - h**p://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - h**p://www.studivz.net/lib/photouploader/PhotoUploader.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Programme\MATLAB7\webserver\bin\win32\matlabserver.exe
O23 - Service: Remote Solver for COSMOSFloWorks 2007 - Unknown owner - C:\Programme\SolidWorks\COSMOS\FloWorks\binCFW\StandAloneSlv.exe
O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

--
End of file - 6376 bytes

und SmitFraudFix.txt

SmitFraudFix v2.128

Scan done at 22:02:39,32, 03.07.2008
Run from C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="csxji.exe"

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» End

Hoffentlich könnte ihr mir helfen.

danke im voraus Halli.

-SilverDragon- · 04.07.2008, 15:39

Hallo und

Lasse bitte folgende Datei bei Virustotal überprüfen:

Code:

ATTFilter

C:\WINDOWS\system32\wadmpjpw.dll

Poste das Ergebnis komplett ins Forum.

Bitte editiere noch aktive Links und persönliche Informationen im Logfile!

Halli_G · 07.07.2008, 17:11

Hallo Silver,

sorry anfängerfehler mit dem Logfiles.

Ich kann die Datei leider nicht auf das Portal laden, weil ich nicht auf virustotal komme. auf einem anderen Rechner geht das irgendwie auch nicht, weil er schreit, das ich keine berechtigung habe...mist verdammter.

-SilverDragon- · 08.07.2008, 10:13

Tipp oben in die Adresszeile www.Virustotal.com ein oder klicke auf meinen Link und lade die Datei auf den Server hoch.
Wieso bist du nicht auf Virustotal gekommen??

Halli_G · 08.07.2008, 12:00

Auf meinem Rechner, wo der Virus/-en daruf ist/ sind, läuft nur noch der Internetexplorer. Firefox lässt sich nicht starten. Im Internetexploren, kann ich keine Links starten, als muss ich alles in die adressleiste eintippen. Bei Virustotal sagt mein "toller" Explorer das die Seite nicht gefunden werden kann.
Ist es möglich die von einem anderen Rechner aus hochzuladen? Wahrscheinlich eher nicht.

CCleaner habe ich auch schon drüberlaufen lassen. Irgendwie lässt sich nichts machen, weil ich auch nichts installieren kann.

myrtille · 08.07.2008, 12:08

Hi,

nur ein kleiner Hinweis:
Dein Smitfraudfixversion ist hoffnunglos veraltet. Aktuell ist 2.329, du hat 2.128.

Die Version ist ein Jahr halt und es ist ganz normal, dass sie nicht mit dem aktuellen Befall fertig wird.

lg myrtille

Halli_G · 08.07.2008, 15:00

ohh danke. das kann sein.
Dann werde ich mal die neue drüberlaufen lassen...hoffentlich ergibt sich was.

Halli_G · 08.07.2008, 18:18

Ok. Leider kann auch die .exe nicht ausführen. Ich komme zwar bis zu dem "Unbekannter Herausgeber...[Ausführen][Abbrechen]"- Fenster, aber danach passiert nicht.
Habt ihr noch irgendwelche Ideen? Sonst muss ich meinen Rechner leider formatieren, wenn nichts hilft.

myrtille · 08.07.2008, 18:24

Hi,

warst du im abgesicherten Modus? Wenn nicht, dann versuch das bitte mal.
Wir haben noch ein paar Möglichkeiten, die wir ausloten können, bevor du neuaufsetzt.

lg myrtille

Halli_G · 08.07.2008, 18:33

Danke für den Hoffnungsschimmer.
Leider tut sich auch im abgesichtern Modus nichts.

myrtille · 08.07.2008, 18:42

Lade dir bitte die angehängte Datei herunter.

Öffne sie dann mit Notepad, gehe auf "Speichern unter" wähle dort als Namen "Anti.bat", als Dateityp "Alle Dateien" und als Codierung "ANSI".

Führe die Datei Anti.bat anschließend per Doppelklick aus. Poste bitte den Inhalt des sich öffnenden Editorfensters.

lg myrtille

Halli_G · 08.07.2008, 18:51

Hallo myrtille,

leider öffnete sich keine editor fenster und bei allen ausführungen, außer zweien, stand da: "Das angegebene Modul wurde nicht gefunden"

die zwei die er gefunden hat waren:

DllRegisterServer in olch2x8.ocx erfolgreich durchgeführt
DllRegisterServer in CCXPButton.ocx erfolgreich durchgeführt

myrtille · 08.07.2008, 19:12

Ok, anderer Ansatz:

Welche Dateien/Programme kannst du noch ausführen?
Geht Bitdefender noch? Findet das Programm etwas?
Kannst du Malwarebytes herunterladen und ausführen?
Kannst du DSS herunterladen und ausführen?

Kannst du eventuell die genannten Dateien/Programme (und auch nochmal Smitfraudfix und Combofix) von einem anderen Rechner herunterladen und per USB-Stick auf den aktuellen Rechner übertragen?
(Wenn ja, benenn bitte alle Programme um. Zb in Programm1.exe, Programm2.exe, etc... )

Wenn nichts davon geht, wechsele bitte in den abgesicherten Modus und rufe HijackThis auf.
Fixe die folgenden Einträge:

Zitat:

O4 - HKLM\..\Run: [b8469b5f] rundll32.exe "C:\WINDOWS\system32\wadmpjpw.dll",b
R3 - Default URLSearchHook is missing

Lösche dann bitte folgende Dateien: Dateien sichtbar machen

Zitat:

C:\WINDOWS\system32\wadmpjpw.dll
csxji.exe <- sollte im Windows oder System32-Ordner zu finden sein.

Erstelle danach ein neus Hijackthislog und poste es hier.

Schau bitte außerdem nach ob die Datei reg.exe im Ordner C:\windows\system32 existiert und wie groß sie ist.

lg myrtille

Halli_G · 09.07.2008, 07:36

Super. Hat geklappt mit dem Umbennen. Konnte Smitfraudfix ausführen. Danach war das Virus Alert weg. Habe dann Anit-Malware installiert und durchlaufen lassen.

Anbei die Logfiles:

Anitmalware

PHP-Code:

  Malwarebytes' Anti-Malware 1.19

Datenbank Version: 899

Windows 5.1.2600 Service Pack 2

 
08:24:22 09.07.2008

mbam-log-7-9-2008 (08-24-22).txt

 
Scan Art: Komplett Scan (C:\|D:\|E:\|G:\|H:\|J:\|)

Objekte gescannt: 319794

Scan Dauer: 1 hour(s), 49 minute(s), 39 second(s)

 
Infizierte Speicher Prozesse: 0

Infizierte Speicher Module: 3

Infizierte Registrierungsschlüssel: 14

Infizierte Registrierungswerte: 2

Infizierte Datei Objekte der Registrierung: 2

Infizierte Verzeichnisse: 2

Infizierte Dateien: 22

 
Infizierte Speicher Prozesse:

(Keine Malware Objekte gefunden)

 
Infizierte Speicher Module:

C:\WINDOWS\system32\bmxqsgei.dll (Trojan.Vundo) -> Unloaded module successfully.

C:\WINDOWS\system32\opnmnNEW.dll (Trojan.Vundo) -> Unloaded module successfully.

C:\WINDOWS\system32\khfGwuSi.dll (Trojan.Vundo) -> Unloaded module successfully.

 
Infizierte Registrierungsschlüssel:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{9a998ca7-6a9a-4257-afbe-59c1fa6b0a17} (Trojan.Vundo) -> Delete on reboot.

HKEY_CLASSES_ROOT\CLSID\{9a998ca7-6a9a-4257-afbe-59c1fa6b0a17} (Trojan.Vundo) -> Delete on reboot.

HKEY_CLASSES_ROOT\CLSID\{43fe53cd-0847-4965-ab7d-cc06a69d193e} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{d2eeb637-a4a5-4bbb-8c0c-96af821110c2} (Trojan.Vundo) -> Delete on reboot.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d2eeb637-a4a5-4bbb-8c0c-96af821110c2} (Trojan.Vundo) -> Delete on reboot.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\khfgwusi (Trojan.Vundo) -> Delete on reboot.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\TypeLib\{08cb7581-45ce-46ec-8f63-a4a205b6c304} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{285e615e-7eb8-41a8-bea6-7914b92ff497} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\gxvpsafm.bfpb (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\gxvpsafm.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

 
Infizierte Registrierungswerte:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\b8469b5f (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{d2eeb637-a4a5-4bbb-8c0c-96af821110c2} (Trojan.Vundo) -> Delete on reboot.

 
Infizierte Datei Objekte der Registrierung:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo) -> Data: c:\windows\system32\opnmnnew -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\opnmnnew  -> Delete on reboot.

 
Infizierte Verzeichnisse:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ADSL Software Ltd (Rogue.Multiple) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ADSL Software Ltd\WinSpywareProtect (Rogue.Multiple) -> Quarantined and deleted successfully.

 
Infizierte Dateien:

C:\WINDOWS\system32\opnmnNEW.dll (Trojan.Vundo) -> Delete on reboot.

C:\WINDOWS\system32\WENnmnpo.ini (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\WENnmnpo.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\bmxqsgei.dll (Trojan.Vundo) -> Delete on reboot.

C:\WINDOWS\system32\iegsqxmb.ini (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\neignnyy.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\yynngien.ini (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\ovvgfymb.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\bmyfgvvo.ini (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ADSL Software Ltd\WinSpywareProtect\winspywareprotect.exe (Rogue.Installer) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\Martin Hagner\Lokale Einstellungen\Temporary Internet Files\Content.IE5\E1ZPFC3V\226[1].exe (Trojan.DownLoader) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\Martin Hagner\Lokale Einstellungen\Temporary Internet Files\Content.IE5\E1ZPFC3V\Install_226_-1_[1].exe (Rogue.Installer) -> Quarantined and deleted successfully.

C:\WINDOWS\pntqkflv.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\cookies.ini (Malware.Trace) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\cdosys.dll (Trojan.Agent) -> Delete on reboot.

C:\WINDOWS\system32\drivers\vmdesched.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\drivers\beep.sys (Fake.Beep.Sys) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\khfGwuSi.dll (Trojan.Vundo) -> Delete on reboot.

C:\WINDOWS\tovafrnm.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\qegbdmwf.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\gxvpsafm.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\***\Anwendungsdaten\Install.dat (Trojan.Agent) -> Quarantined and deleted successfully.

SmitFraudFix:

PHP-Code:

  SmitFraudFix v2.328

 
Scan done at 23:44:36,51, 08.07.2008

Run from C:\Dokumente und Einstellungen\***\Desktop\SmitfraudFix

OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT

The filesystem type is NTFS

Fix run in normal mode

 
»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix

!!!Attention, following keys are not inevitably infected!!!

 
SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 
»»»»»»»»»»»»»»»»»»»»»»»» Killing process

 
 
»»»»»»»»»»»»»»»»»»»»»»»» hosts

 
 
»»»»»»»»»»»»»»»»»»»»»»»» VACFix

 
VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 
 
»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

 
S!Ri's WS2Fix: LSP not Found.

 
 
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

 
GenericRenosFix by S!Ri

 
 
»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

 
C:\WINDOWS\privacy_danger\ Deleted

C:\DOKUME~1\***~1\FAVORI~1\Error Cleaner.url Deleted

C:\DOKUME~1\***~1\FAVORI~1\Privacy Protector.url Deleted

C:\DOKUME~1\***~1\FAVORI~1\Spyware?Malware Protection.url Deleted

 
»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

 
IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 
 
 
»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

 
404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 
 
»»»»»»»»»»»»»»»»»»»»»»»» DNS

 
Description: NETGEAR 108 Mbps Wireless PCI Adapter WG311T - Paketplaner-Miniport

DNS Server Search Order: 195.50.140.178

DNS Server Search Order: 195.50.140.114

 
HKLM\SYSTEM\CCS\Services\Tcpip\..\{37EAF8BC-F2CC-4FB3-8218-F7066B251877}: DhcpNameServer=85.255.113.130,85.255.112.113

HKLM\SYSTEM\CCS\Services\Tcpip\..\{8DA5E195-D270-4664-894C-2419EE21F66A}: DhcpNameServer=195.50.140.178 195.50.140.114

HKLM\SYSTEM\CCS\Services\Tcpip\..\{B9361336-F34C-41B3-B0D8-85EF52AFB952}: DhcpNameServer=85.255.113.130,85.255.112.113

HKLM\SYSTEM\CCS\Services\Tcpip\..\{F923A043-0DA3-423B-8FF1-1118FB35FD90}: DhcpNameServer=85.255.113.130,85.255.112.113

HKLM\SYSTEM\CS1\Services\Tcpip\..\{37EAF8BC-F2CC-4FB3-8218-F7066B251877}: DhcpNameServer=85.255.113.130,85.255.112.113

HKLM\SYSTEM\CS1\Services\Tcpip\..\{8DA5E195-D270-4664-894C-2419EE21F66A}: DhcpNameServer=195.50.140.178 195.50.140.114

HKLM\SYSTEM\CS1\Services\Tcpip\..\{B9361336-F34C-41B3-B0D8-85EF52AFB952}: DhcpNameServer=85.255.113.130,85.255.112.113

HKLM\SYSTEM\CS1\Services\Tcpip\..\{F923A043-0DA3-423B-8FF1-1118FB35FD90}: DhcpNameServer=85.255.113.130,85.255.112.113

HKLM\SYSTEM\CS3\Services\Tcpip\..\{37EAF8BC-F2CC-4FB3-8218-F7066B251877}: DhcpNameServer=85.255.113.130,85.255.112.113

HKLM\SYSTEM\CS3\Services\Tcpip\..\{8DA5E195-D270-4664-894C-2419EE21F66A}: DhcpNameServer=195.50.140.178 195.50.140.114

HKLM\SYSTEM\CS3\Services\Tcpip\..\{B9361336-F34C-41B3-B0D8-85EF52AFB952}: DhcpNameServer=85.255.113.130,85.255.112.113

HKLM\SYSTEM\CS3\Services\Tcpip\..\{F923A043-0DA3-423B-8FF1-1118FB35FD90}: DhcpNameServer=85.255.113.130,85.255.112.113

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=195.50.140.178 195.50.140.114

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=195.50.140.178 195.50.140.114

HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=195.50.140.178 195.50.140.114

 
 
»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

 
 
»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, following keys are not inevitably infected!!!

 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"="csxji.exe"

 
 
»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

 

Registry Cleaning done. 

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix

!!!Attention, following keys are not inevitably infected!!!

 
SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 
 
»»»»»»»»»»»»»»»»»»»»»»»» End

Hijackthis:

PHP-Code:

  Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 08:35:14, on 09.07.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal

 
Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\acs.exe

C:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\MATLAB7\webserver\bin\win32\matlabserver.exe

C:\Programme\SolidWorks\COSMOS\FloWorks\binCFW\StandAloneSlv.exe

C:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe

C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe

C:\Programme\Java\jre1.6.0_05\bin\jusched.exe

C:\Programme\FreePDF_XP\fpassist.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\NETGEAR\WG311T\wlancfg5.exe

C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe

C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Dokumente und Einstellungen\***\Eigene Dateien\Downloads\Hijack\HijackThis.exe

 
R3 - Default URLSearchHook is missing

O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll

O4 - HKLM\..\Run: [BDMCon] c:\PROGRA~1\softwin\BITDEF~1\bdmcon.exe

O4 - HKLM\..\Run: [BDNewsAgent] c:\programme\softwin\bitdefender professional edition\bdnagent.exe

O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender Professional Edition\bdswitch.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: NETGEAR WG311T Smart Wizard.lnk = C:\Programme\NETGEAR\WG311T\wlancfg5.exe

O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML

O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll

O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab

O16 - DPF: {96512D57-F751-4088-A689-5778FCC77F7A} (Photo Uploader Control) - http://www.studivz.net/lib/photouploader/PhotoUploader.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O23 - Service: Atheros Configuration Service (ACS) - Unknown owner - C:\WINDOWS\system32\acs.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Backbone Service (BBDemon) - Dassault Systemes - C:\Programme\Dassault Systemes\B17\intel_a\code\bin\CATSysDemon.exe

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\Programme\MATLAB7\webserver\bin\win32\matlabserver.exe

O23 - Service: Remote Solver for COSMOSFloWorks 2007 - Unknown owner - C:\Programme\SolidWorks\COSMOS\FloWorks\binCFW\StandAloneSlv.exe

O23 - Service: SolidWorks Licensing Service - SolidWorks - C:\Programme\Gemeinsame Dateien\SolidWorks Shared\Service\SolidWorksLicensing.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe

O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

 
--

End of file - 6165 bytes

Super. Es geht vorwärts

. Danke dir myrtille

myrtille · 09.07.2008, 08:21

Hi,

freut mich zu hören, dass es dem Rechner wieder besser geht.

Ich bräuchte noch ein Log von DSS. Bitte einfach runterladen, per doppelklick ausführen. Es sollten 2 Reports geöffnet werden, diese bitte hier posten.

Nimm statt der phpcode-tags bitte die reinen [code]-tags... php macht komische Sachen mit den Logs.

lg myrtille

08.07.2008, 12:08	#6
myrtille /// TB-Ausbilder	ebenfalls VIRUS ALERT Hi, nur ein kleiner Hinweis: Dein Smitfraudfixversion ist hoffnunglos veraltet. Aktuell ist 2.329, du hat 2.128. Die Version ist ein Jahr halt und es ist ganz normal, dass sie nicht mit dem aktuellen Befall fertig wird. lg myrtille __________________ --> ebenfalls VIRUS ALERT

ebenfalls VIRUS ALERT

Plagegeister aller Art und deren Bekämpfung: ebenfalls VIRUS ALERT