die experten sind gefragt!
als laie, was die interne administration eines computers anbelangt, hab ich mir offensichtlich folgende trojaner, oder was auch immer was eingefangen:

hg.exe
ieso0.dll

mein av programm ist avg-free, es erkennt diese files beim starten des rechners, und heilt sie wohl auch. beim neustart sind die files jedoch immer wieder da.
hijackthis hab ich schon mal loggen lassen, wie ihr in ähnlichen fällen empfiehlt, aber jetzt weiss ich natürlich nicht weiter.
in den 10 jahren, in denen ich rechner benutze, ist mir sowas noch nicht vorgefallen. wer kann helfen? gehe jetzt gleich ins verdiente we, ich hoffe auf nützliche tips bis montag.
danke im voraus an denjenigen, der sich damit auskennt.

Hi,

bitte ein HJ-Log gemäß der Signatur, MAM (http://www.trojaner-board.de/51187-anleitung-malwarebytes-anti-malware.html) laden/installieren und scannen/beseitigen lassen, beide Logs posten...

ieso0.dll->http://www.prevx.com/filenames/X5260936020118316-X1/IESO0.DLL.html

chris

Hi,

Killbox:
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html
oder
http://www.wintotal.de/Software/index.php?id=4101

Options: Delete on Reboot --> anhaken
reinkopieren:
C:\0liyv.com
C:\f.bat
C:\ov.cmd
C:\1t6yxlxx.cmd
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

PC neustarten

Combofix:
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

chris

lieber chris,
klappt ja alles gut bis jetzt, deine anweisungen sind sehr klar, und werden auch ohne murren des rechners ausgeführt.
um dirs nicht so einfach zu machen: das logfile von combofix ist in italienischer sprache, weil das betriebssystem eben in italienisch ist (rechner und benutzer, also meine wenigkeit, sind z.zt eben in italien)
ps: habe beim loggen den usb stick dringelassen, wie zu erwarten war, ist auch dort jede menge an spionen zu tage gekommen.

daumen drück, danke schonmal im voraus
tho

ComboFix 08-09-05.09 - ***** 2008-09-08 19.14.31.1 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1040.18.561 [GMT 2:00]
Eseguito da: C:\Documents and Settings\*****\Desktop\ComboFix.exe
* Creato nuovo punto di ripristino

ATENÇÃO - ESTA MAQUINA NAO TEM A CONSOLE DE RECUPERAÇÃO INSTALADA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\0liyv.com
C:\1t6yxlxx.cmd
C:\Autorun.inf
C:\DOCUME~1\thore\IMPOST~1\Temp\tru1.tmp
C:\Documents and Settings\*****\Cookies\thore@ad.adfill[1].txt
C:\Documents and Settings\*****\Cookies\thore@indextools[2].txt
C:\Documents and Settings\*****\Cookies\thore@serving-sys[1].txt
C:\Documents and Settings\*****\Cookies\thore@tradedoubler[2].txt
C:\Documents and Settings\*****\Cookies\thore@traffictrack[2].txt
C:\WINDOWS\recover.reg
C:\WINDOWS\system32\autorun.ini
C:\WINDOWS\system32\ckvo.exe
C:\WINDOWS\system32\ckvo0.dll
C:\WINDOWS\system32\ckvo1.dll
C:\WINDOWS\system32\fool0.dll
C:\WINDOWS\system32\ieso0.dll
C:\WINDOWS\system32\kxvo.exe
D:\0liyv.com
D:\1t6yxlxx.cmd
D:\Autorun.inf
D:\f.bat
D:\ov.cmd
F:\0liyv.com
F:\1t6yxlxx.cmd
F:\autorun.inf
F:\f.bat
F:\ov.cmd
F:\tyktjfww.exe

.
((((((((((((((((((((((((( Files Creati Da 2008-08-08 al 2008-09-08 )))))))))))))))))))))))))))))))))))
.

2008-09-08 19:07 . 2008-09-08 19:07 <DIR> d-------- C:\!KillBox
2008-09-08 17:28 . 2008-09-08 17:28 <DIR> d-------- C:\WINDOWS\system32\it
2008-09-08 17:28 . 2008-09-08 17:28 <DIR> d-------- C:\WINDOWS\system32\bits
2008-09-08 17:28 . 2008-09-08 17:28 <DIR> d-------- C:\WINDOWS\l2schemas
2008-09-08 17:27 . 2008-09-08 17:27 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-09-08 15:28 . 2008-09-08 15:28 <DIR> d-------- C:\Programmi\PrevxCSI
2008-09-08 15:28 . 2008-09-08 15:28 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\PrevxCSI
2008-09-08 15:28 . 2008-09-08 15:28 17,408 --a------ C:\WINDOWS\system32\drivers\pxark.sys
2008-09-08 14:41 . 2008-09-08 14:41 <DIR> d-------- C:\Programmi\Malwarebytes' Anti-Malware
2008-09-08 14:41 . 2008-09-08 14:41 <DIR> d-------- C:\Documents and Settings\thore\Dati applicazioni\Malwarebytes
2008-09-08 14:41 . 2008-09-08 14:41 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\Malwarebytes
2008-09-08 14:41 . 2008-09-08 00:11 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-08 14:41 . 2008-09-08 00:11 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-05 18:09 . 2008-09-05 18:09 <DIR> d-------- C:\Programmi\Trend Micro
2008-09-03 09:54 . 2004-08-03 22:29 1,897,408 --------- C:\WINDOWS\system32\drivers\nv4_mini.sys
2008-09-02 11:44 . 2008-09-02 11:44 <DIR> d-------- C:\Programmi\VML
2008-09-02 11:40 . 2008-09-02 11:40 <DIR> d-------- C:\temp\Download
2008-08-17 17:06 . 2008-05-16 22:13 224,016 --a------ C:\WINDOWS\system32\TABCTL32.OCX
2008-08-17 17:00 . 2008-04-11 21:04 691,712 --------- C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-17 16:56 . 2008-08-17 16:56 <DIR> d-------- C:\Documents and Settings\*****\Dati applicazioni\AVG7

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-07 09:20 --------- d-----w C:\Programmi\MSECache
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\dllcache\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
2008-07-18 07:08 --------- d-----w C:\Documents and Settings\patrizia\Dati applicazioni\AVG7
2008-07-15 07:19 --------- d-----w C:\Documents and Settings\karen\Dati applicazioni\AVG7
2008-07-08 16:59 --------- d-----w C:\Programmi\SCWA-Software
2008-07-07 20:27 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-07 20:27 253,952 ------w C:\WINDOWS\system32\dllcache\es.dll
2008-06-24 16:42 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-24 16:42 74,240 ------w C:\WINDOWS\system32\dllcache\mscms.dll
2008-06-24 08:15 3,592,192 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-06-23 09:22 70,656 ----a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-06-23 09:22 625,664 ----a-w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-06-23 09:20 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-06-21 05:23 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll
2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 17:46 247,296 ------w C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 17:46 147,968 ------w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 11:51 361,600 ------w C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 11:40 138,496 ------w C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 11:08 225,856 ------w C:\WINDOWS\system32\dllcache\tcpip6.sys
2008-06-14 17:32 272,768 ------w C:\WINDOWS\system32\dllcache\bthport.sys
2004-03-11 11:27 40,960 ----a-w C:\Programmi\Uninstall_CDS.exe
2006-05-03 10:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 11:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
2007-12-17 13:43 27,648 --sh--w C:\WINDOWS\system32\Smab0.dll
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"QuickTime Task"="C:\Programmi\QuickTime\qttask.exe" [2006-06-29 282624]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2004-10-07 155648]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2004-10-07 126976]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-19 208952]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-19 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-19 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-19 455168]
"RemoteControl"="C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-21 40960]
"eRecoveryService"="C:\Windows\System32\Check.exe" [2004-11-24 245760]
"MPS"="C:\ACER\PSM.EXE" [2004-03-04 372736]
"MpsOnn"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\MpsOnn.exe" [2001-11-19 22528]
"admtray.exe"="C:\Programmi\acer\eManager\admtray.exe" [2004-10-11 1393664]
"TkBellExe"="C:\Programmi\File comuni\Real\Update_OB\realsched.exe" [2006-01-19 180269]
"QuickTime Task"="C:\Programmi\QuickTime\qttask.exe" [2006-06-29 282624]
"SunJavaUpdateSched"="C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"Acrobat Assistant 8.0"="C:\Programmi\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 624248]
"Adobe_ID0EYTHM"="C:\PROGRA~1\FILECO~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE" [2007-03-20 1884160]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-04-18 579584]
"NeroFilterCheck"="C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"SecurDisc"="C:\Programmi\Nero\Nero 7\InCD\NBHGui.exe" [2007-05-15 1628208]
"InCD"="C:\Programmi\Nero\Nero 7\InCD\InCD.exe" [2007-05-15 1057328]
"Collegamento alla pagina delle proprietà di High Definition Audio"="HDAudPropShortcut.exe" [2004-08-12 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-11-01 C:\WINDOWS\SoundMan.exe]
"AlcWzrd"="ALCWZRD.EXE" [2004-11-28 C:\WINDOWS\ALCWZRD.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-02-02 219136]

C:\Documents and Settings\*****\Menu Avvio\Programmi\Esecuzione automatica\
Adobe Gamma.lnk - C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
AlarmS4.lnk - C:\WINDOWS\system32\AlarmS4.exe [2003-02-20 241664]
Adobe Gamma.lnk - C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]
Net Send GUI.lnk - C:\Programmi\Fomine Net Send GUI\NetSendGUI.exe [2006-10-15 196608]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"DisablePersonalDirChange"= 1 (0x1)
"ForceStartMenuLogOff"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3344813579-301442978-2783060407-1129\Scripts\Logon\0\0]
"Script"=logon.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3344813579-301442978-2783060407-1130\Scripts\Logon\0\0]
"Script"=logon.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3344813579-301442978-2783060407-1133\Scripts\Logon\0\0]
"Script"=logon.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3344813579-301442978-2783060407-1135\Scripts\Logon\0\0]
"Script"=logon.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3344813579-301442978-2783060407-1136\Scripts\Logon\0\0]
"Script"=logon.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3344813579-301442978-2783060407-1137\Scripts\Logon\0\0]
"Script"=logon.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3344813579-301442978-2783060407-1138\Scripts\Logon\0\0]
"Script"=logon.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3344813579-301442978-2783060407-1139\Scripts\Logon\0\0]
"Script"=logon.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3344813579-301442978-2783060407-1140\Scripts\Logon\0\0]
"Script"=logon.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3344813579-301442978-2783060407-1141\Scripts\Logon\0\0]
"Script"=logon.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3344813579-301442978-2783060407-1185\Scripts\Logon\0\0]
"Script"=logon.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3344813579-301442978-2783060407-1186\Scripts\Logon\0\0]
"Script"=logon.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3344813579-301442978-2783060407-1187\Scripts\Logon\0\0]
"Script"=logon.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3344813579-301442978-2783060407-1191\Scripts\Logon\0\0]
"Script"=logon.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3344813579-301442978-2783060407-1193\Scripts\Logon\0\0]
"Script"=logon.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3344813579-301442978-2783060407-1202\Scripts\Logon\0\0]
"Script"=logon.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 pxark;pxark;C:\WINDOWS\system32\drivers\pxark.sys [2008-09-08 17408]
R2 CSIScanner;CSIScanner;C:\Programmi\PrevxCSI\prevxcsi.exe [2008-09-08 618040]
R2 OsaFsLoc;OsaFsLoc;C:\WINDOWS\system32\drivers\OsaFsLoc.sys [2004-07-16 9901]
R2 osaio;osaio;C:\WINDOWS\system32\drivers\osaio.sys [2004-09-20 10363]
R3 int15.sys;int15.sys;C:\Programmi\acer\eRecovery\int15.sys [2004-11-03 69632]
R3 PortRW;PortRW;C:\WINDOWS\system32\Drivers\PortRW.sys [2003-08-15 3456]
*****
S3 NdisFilt;OSA NdisFilter Protocol;C:\WINDOWS\system32\Drivers\NdisFilt.sys [2004-06-07 5035]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{46c7afc2-6458-11dd-b64a-00016ccebf8c}]
\Shell\AutoRun\command - F:\0liyv.com
\Shell\explore\Command - F:\0liyv.com
\Shell\open\Command - F:\0liyv.com

*Newly Created Service* - PROCEXP90
.
Contenuto della cartella 'Scheduled Tasks'
.
- - - - ORFÃOS REMOVIDOS - - - -

HKCU-Run-kamsoft - C:\WINDOWS\system32\ckvo.exe


.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.de/
R1 -: HKCU-Internet Settings,ProxyOverride = *.local
O8 -: &Save Flash In This Page by Flash Saver - C:\PROGRA~1\FLASHS~1\save.htm
O8 -: Aggiungi a PDF esistente - C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 -: Converti destinazione link in Adobe PDF - C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 -: Converti destinazione link in file PDF esistente - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 -: Converti i link selezionati in Adobe PDF - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 -: Converti i link selezionati in file PDF esistente - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 -: Converti in Adobe PDF - C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 -: Converti nel file PDF esistente - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 -: Converti selezione in Adobe PDF - C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 -: Converti selezione in file PDF esistente - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 -: Download with GetRight - C:\Programmi Thore\GetRight\GRdownload.htm
O8 -: E&sporta in Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 -: Open with GetRight Browser - C:\Programmi Thore\GetRight\GRbrowse.htm
O17 -: HKLM\CCS\Interface\{857CDE45-DA79-4A94-96F7-D4ACEC40BDEA}: NameServer = 192.200.20.200,212.216.112.112

O16 -: {1F831FA9-42FC-11D4-95A6-0080AD30DCE1} - file:///C:/Programmi%20Thore/ac/InstFred.ocx
C:\WINDOWS\Downloaded Program Files\InstFred.ocx

O16 -: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} - hxxps://stream.web.de/mail/activex/mail_upload_11213.cab
C:\WINDOWS\Downloaded Program Files\mail_upload.inf
C:\WINDOWS\system32\msvcrt.dll
C:\WINDOWS\system32\mfc42.dll
C:\WINDOWS\system32\olepro32.dll
C:\WINDOWS\system32\msvcp60.dll
C:\WINDOWS\Downloaded Program Files\mail_upload.ocx
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-08 19:17:07
Windows 5.1.2600 Service Pack 3 FAT NTAPI

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
Ora fine scansione: 2008-09-08 19:18:27
ComboFix-quarantined-files.txt 2008-09-08 17:18:24

Pre-Run: 8,360,263,680 byte disponibili
Post-Run: 10,364,026,880 byte disponibili

259 --- E O F --- 2008-09-08 15:32:29

Hi,

es gibt noch drei versteckte Files, bei denen ich mir unschlüssig bin,
daher bitte online prüfen lassen:
Weiterhin ein Systemtreiber der von Acer sein kann oder auch ein Virus...

Bitte folgende Files prüfen:

Zitat:

C:\WINDOWS\system32\flvDX.dll
C:\WINDOWS\system32\msfDX.dll
C:\WINDOWS\system32\Smab0.dll
C:\WINDOWS\system32\drivers\OsaFsLoc.sys

http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
Poste das Ergebnis pro File (mit Filename)....

Chris

Ps.: Java bitte noch updaten und wenn Du Dich mit Regedit auskennst,
diesen Key komplett löschen (dort wird per Mountpoint versucht die Maleware zu starten):

Code: Alles auswählenAufklappen

ATTFilter

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{46c7afc2-6458-11dd-b64a-00016ccebf8c}
         

Alternativ erstelle ich ein ComboFix-Script was das erledigt...

Java:
Deine Javasoftware ist veraltet,
Download jre-6u7-windows-i586-p.exe
Scrolle runter nach ---->Java Runtime Environment (JRE) 6u7
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf "Download"
Setze ein Haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6-windows-i586.exe”zum Desktop zu installieren
Schliesse alle Programme auch Deinen Webbrowser
Über "Start -> Einstellungen -> Systemsteuerung -> Software
entferne alle aelteren Versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\Java entfernen!
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus ---> “jre-6u7-windows-i586-p.exe”

Und zum Abschluss nochmal ein neues HJ-Log...

lieber chris,
- ok virustotal scan.
(ergebnisse in kurzform in der anlage, mir scheint, da ist alles soweit in ordnung)
- ok java komplett runtergeschmissen
- ok regedit bearbeitet (file gfunden und geloescht)
- ok computer neu gestartet
(- trotz allem beim neustart des rechners von prevx ein popup erhalten, das mich auf diverse infizierte files hinweist, vielleicht ist das ja aber einfach nur eine verkaufsmasche von prevx)
- ok java neu installiert
- ok highjack log erstellt, findest du in meinem nächsten post, damits nicht so unübersichtlich wird.

ich frag mich schonmal, wie man sich für diesen service bei dir bedanken kann.



ergebnisse virustotal in kurzform:

Datei flvDX.dll empfangen 2008.09.04 22:57:35 (CET)
Status: Beendet
Ergebnis: 1/36 (2.78%)
eSafe 7.0.17.0 2008.09.03 Suspicious File


Datei msfDX.dll empfangen 2008.09.02 18:58:43 (CET)
Status: Beendet
Ergebnis: 1/36 (2.78%)
eSafe - - Suspicious File


Datei Smab0.dll empfangen 2008.08.30 07:35:16 (CET)
Status: Beendet
Ergebnis: 2/36 (5.56%)
eSafe - - Suspicious File
Webwasher-Gateway - - Win32.Malware.gen!88 (suspicious)


Datei OsaFsLoc.sys empfangen 2008.09.09 12:23:45 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
FPRIVATE "TYPE=PICT;ALT="
Ergebnis: 0/36 (0%)
SELTSAM, ICH HABE MIT strgC/strgV DEN TEXT KOPIERT, ABER AUF DEM BILDSCHIRM WAR DIE NACHRICHT: "alles OK, nichts gefunden, scan beendet"

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:57, on 2008-09-09
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmi\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Programmi\PrevxCSI\prevxcsi.exe
C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programmi\Nero\Nero 7\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Programmi\PrevxCSI\prevxcsi.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
C:\ACER\PSM.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Programmi\acer\eManager\admtray.exe
C:\Programmi\File comuni\Real\Update_OB\realsched.exe
C:\Programmi\QuickTime\qttask.exe
C:\Programmi\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Programmi\acer\eRecovery\Monitor.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\Programmi\Nero\Nero 7\InCD\NBHGui.exe
C:\Programmi\Nero\Nero 7\InCD\InCD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmi\Acer\eManager\admServ.exe
C:\WINDOWS\system32\AlarmS4.exe
C:\Programmi\Fomine Net Send GUI\NetSendGUI.exe
C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programmi\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Collegamenti
O2 - BHO: Supporto di collegamento per Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmi\File comuni\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IE to GetRight Helper - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programmi *****\GetRight\xx2gr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programmi\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [Collegamento alla pagina delle proprietà di High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [MPS] C:\ACER\PSM.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [MpsOnn] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\MpsOnn.exe
O4 - HKLM\..\Run: [admtray.exe] "C:\Programmi\acer\eManager\admtray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programmi\File comuni\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Programmi\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\FILECO~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SecurDisc] C:\Programmi\Nero\Nero 7\InCD\NBHGui.exe
O4 - HKLM\..\Run: [InCD] C:\Programmi\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmi\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programmi\QuickTime\qttask.exe" -atboottime
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'SERVIZIO LOCALE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVIZIO DI RETE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AlarmS4.lnk = C:\WINDOWS\system32\AlarmS4.exe
O4 - Global Startup: Adobe Gamma.lnk = C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Net Send GUI.lnk = C:\Programmi\Fomine Net Send GUI\NetSendGUI.exe
O8 - Extra context menu item: &Save Flash In This Page by Flash Saver - C:\PROGRA~1\FLASHS~1\save.htm
O8 - Extra context menu item: Aggiungi a PDF esistente - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti destinazione link in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti destinazione link in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti i link selezionati in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Converti i link selezionati in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Converti in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti nel file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Converti selezione in Adobe PDF - res://C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Converti selezione in file PDF esistente - res://C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download with GetRight - C:\Programmi *****\GetRight\GRdownload.htm
O8 - Extra context menu item: E&sporta in Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Programmi *****\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmi\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Flash Saver - {09EA1F80-F40A-11D1-B792-444553540001} - C:\PROGRA~1\FLASHS~1\save.htm
O9 - Extra 'Tools' menuitem: Flash Saver - {09EA1F80-F40A-11D1-B792-444553540001} - C:\PROGRA~1\FLASHS~1\save.htm
O9 - Extra button: Ricerche - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmi\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http:\\www.google.it
O16 - DPF: {1F831FA9-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file:///C:/Programmi%20*****/ac/InstFred.ocx
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab
O16 - DPF: {62789780-B744-11D0-986B-00609731A21D} (Autodesk MapGuide ActiveX Control) - http://mapserver3.ldpassociati.it/include/activex/MGViewer/6.0.4.2/mgaxctrl.cab
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (Controllo AcDc oggi) - file:///C:/Programmi%20*****/ac/AcDcToday.ocx
O16 - DPF: {AE563729-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file:///C:/Programmi%20*****/ac/InstBanr.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Controllo AcPreview) - file:///C:/Programmi%20*****/ac/AcPreview.ocx
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = *****.msft
O17 - HKLM\Software\..\Telephony: DomainName = *****.msft
O17 - HKLM\System\CCS\Services\Tcpip\..\{857CDE45-DA79-4A94-96F7-D4ACEC40BDEA}: NameServer = 192.200.20.200,212.216.112.112
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = *****.msft
O17 - HKLM\System\CS1\Services\Tcpip\..\{857CDE45-DA79-4A94-96F7-D4ACEC40BDEA}: NameServer = 192.200.20.200,212.216.112.112
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = *****.msft
O17 - HKLM\System\CS2\Services\Tcpip\..\{857CDE45-DA79-4A94-96F7-D4ACEC40BDEA}: NameServer = 192.200.20.200,212.216.112.112
O23 - Service: Hardware Monitoring Program (ADMService) - OSA Technologies Inc - C:\Programmi\Acer\eManager\admServ.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmi\File comuni\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS3 {it_IT} (Adobe Version Cue CS3) - Adobe Systems Incorporated - C:\Programmi\File comuni\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programmi\Bonjour\mDNSResponder.exe
O23 - Service: CSIScanner - Prevx - C:\Programmi\PrevxCSI\prevxcsi.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programmi\File comuni\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programmi\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmi\File comuni\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programmi\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: NBService - Nero AG - C:\Programmi\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programmi\File comuni\Ahead\Lib\NMIndexingService.exe

--
End of file - 12372 bytes

update prevx:
habe das programm deinstalliert, neu gestartet und neu installiert.
die version 2.0 hat sich im internet upgedatet, und zeigt jetzt keine hinweise mehr an (zumindest in der nicht lizenzierten version)

auch keine hinweise mehr vom standardmässig installierten avg free edition!

also augenscheinlich alles in ordnung!
muss/kann ich noch was mit meinem usb-stick machen? habe etwas skrupel, ihn einzustecken, besser ich warte mal auf dein ok...

Hi,

was und wo genau hat PrevX angeschlagen?
HJ und Combfix legen Backupdateien an, d.h. wenn darin was gefunden wird ist es OK. Die Backupdateien löschen wir später, wenn sichergestellt ist, dass alles noch läuft...

Die Datei Smab0.dll bitte auf Smab0.dll.vir umbenennen...

So, wenn Du damit was anfangen kannst:
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = *****.msft

Das gab's vorher nicht:
O4 - Global Startup: Net Send GUI.lnk = C:\Programmi\Fomine Net Send GUI\NetSendGUI.exe (eine Art Messengerservice?)
und
C:\WINDOWS\system32\AlarmS4.exe (Acer?)

Dann ist das HJ-Log soweit OK...

Schauen wir noch kurz nach dem MBR:
Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte:
http://www2.gmer.net/mbr/mbr.exe
Merke Dir das Verzeichnis wo Du ihn runtergeladen hast;
Start->Ausführen->cmd
Wechsle in das Verzeichnis des Downloads und starte durch Eingabe
von mbr das Programm...

Das Ergebnis sollte so aussehen:

Zitat:

D:\Downloads>mbr
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

In dem Verzeichnis wo mbr.exe liegt findest Du das Log,

poste es im Thread;

chris

EDIT:
Für den USB-Stick (da waren auch Sachen drauf) das Autorun ausschalten:
Autorun ausschalten:
Temporär:
Um beim Anschluss eine Neuinfektion zu verhindern, die Shift-Taste gedrückt halten, das verhindert den Autorun (autorun.inf).

Autoplay/Autostart ausschalten:
So deaktivieren Sie die Autoplay-Funktion von allen Laufwerken über die Gruppenrichtlinien:
Start -> Ausführen -> gpedit.msc
Computer Konfiguration -> Administrative Vorlagen -> System-> Autoplay deaktivieren
"Autoplay deaktivieren für" -> Alle Laufwerke...

Danach dann den Stick komplett untersuchen lassen...

was und wo genau hat PrevX angeschlagen?
weiss ich leider nicht mehr, ahb keinen screenshot gemacht. es waren aber die üblichen verdächtigen, die ich mit killbox schon beseitigt hatte.

Die Datei Smab0.dll bitte auf Smab0.dll.vir umbenennen...
habe die datei nicht gefunden, obwohl ich auch versteckte und systemdateien eingeblendet habe. ist vielleicht ein gutes zeichen.

So, wenn Du damit was anfangen kannst:
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = *****.msft
cs1 klingt mir nach der alten creative suite von adobe. habe aber schon die neue installiert.


Das gab's vorher nicht:
O4 - Global Startup: Net Send GUI.lnk = C:\Programmi\Fomine Net Send GUI\NetSendGUI.exe (eine Art Messengerservice?)
ja, ist ein messengerservice, richtig getippt. von ihm geht keine gefahr aus, den hab ich schon sehr lange auf dem rechner
und
C:\WINDOWS\system32\AlarmS4.exe (Acer?)
ist auch schon lange auf dem rechner, komischer name, ist aber was vom acer computer, hast du wieder richtig getippt.


Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte:
http://www2.gmer.net/mbr/mbr.exe
Merke Dir das Verzeichnis wo Du ihn runtergeladen hast;
Start->Ausführen->cmd
Wechsle in das Verzeichnis des Downloads und starte durch Eingabe
von mbr das Programm...

hat leider nicht so funktioniert, wie du es vorgeschlagen hast, denn avg hat den download gestoppt, und eine warnung gemeldet. ggf hab ich diesmal einen screenhot gemacht. habe das programm direkt von der internetseite heruntergeladen, das log file ist vielleicht nicht das, was du erwartet hattest:

ok autoplay für stick ist deaktiviert. hast du vorschläge, mit welchen helferchen ich den stick untersuchen soll?

GMER 1.0.14.14536 - http://www.gmer.net
Rootkit scan 2008-09-09 14:40:43
Windows 5.1.2600 Service Pack 3


---- System - GMER 1.0.14 ----

SSDT pxfsf.sys (PREVX Security Agent for Windows/Prevx Limited, http://www.prevx1.com/) ZwEnumerateKey [0xF726F969]
SSDT pxfsf.sys (PREVX Security Agent for Windows/Prevx Limited, http://www.prevx1.com/) ZwEnumerateValueKey [0xF726F973]

---- Devices - GMER 1.0.14 ----

AttachedDevice \FileSystem\Fastfat \Fat pxfsf.sys (PREVX Security Agent for Windows/Prevx Limited, http://www.prevx1.com/)
AttachedDevice \FileSystem\Fastfat \Fat avg7rsw.sys (AVG Resident Shield Unload Helper/GRISOFT, s.r.o.)
AttachedDevice \FileSystem\Fastfat \Fat OsaFsLoc.sys (Filesystem Lock driver/OSA Technologies)
AttachedDevice \Driver\Tcpip \Device\Ip pxtdi.sys (PREVX Security Agent for Windows. TDI module/Prevx Limited, http://www.prevx1.com/)
AttachedDevice \Driver\Tcpip \Device\Ip avgtdi.sys (AVG Network connection watcher/GRISOFT, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Tcp pxtdi.sys (PREVX Security Agent for Windows. TDI module/Prevx Limited, http://www.prevx1.com/)
AttachedDevice \Driver\Tcpip \Device\Tcp avgtdi.sys (AVG Network connection watcher/GRISOFT, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Udp pxtdi.sys (PREVX Security Agent for Windows. TDI module/Prevx Limited, http://www.prevx1.com/)
AttachedDevice \Driver\Tcpip \Device\Udp avgtdi.sys (AVG Network connection watcher/GRISOFT, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\RawIp pxtdi.sys (PREVX Security Agent for Windows. TDI module/Prevx Limited, http://www.prevx1.com/)
AttachedDevice \Driver\Tcpip \Device\RawIp avgtdi.sys (AVG Network connection watcher/GRISOFT, s.r.o.)

---- EOF - GMER 1.0.14 ----

Hi,

das ist der "komplette" Gmer (Rootkitscanner), die Sachen die erkannt wurden sind ok (sind Hooks etc. von Deinen Scannern).

Versuche noch mal den MasterBootBlockscanner (http://www2.gmer.net/mbr/mbr.exe) zu laden, eventuelle Warnungen von AVG ignorieren (d. h. download und Ausführung zulassen).

Da MBR direkt auf die Platte lowlevel zugreift (und dann auch noch auf den Bootblock) wird gewarnt (ist wie dem Messer, zum Essen oder Erstechen!)..

chris

kann den link beim besten willen nicht runterladen.
meldung: "bitte kontrollieren, ob festplatte voll oder schreibgeschützt ist, oder das programm gerade schon ausgeführt wird."
da das schon gestern, VOR dem runterladen des kompletten gmers gemeldet wurde, gehe ich davon aus, dass es nichts damit zu tun hat, dass das hauptprogramm sich vielleicht beim starten automatisch lädt.

sorry, dass ich gerade der blocker bin, habe auch schon im board geprüft, andere scheinen das problem noch nicht gehabt zu haben.

update: virus -und trojanermeldungen gibt es auch heute keine, schein alles i.o.

Hi,

habe es ausprobiert, bei mir läuft der Link.... sehr seltsam, gefällt mir nicht.
Mit ist auch nichts in der Richtung bekannt....
Du musst eine Commandline öffnen und dann mbr aufrufen (Start->Ausführen->cmd, dann per cd in das richtige Directory navigieren und die MBR.EXE aufrufen)

Alternative:
Downloade Avira Antirootkit und Scanne dein system, poste das logfile.
http://dl.antivir.de/down/windows/antivir_rootkit.zip

chris

hallo chris,
bin morgen offline, ich werde versuchen, am freitag das thema zu erörtern, aber DU sorg dich mal nicht, wenn ICH hier den desktop nicht nach anweisung beliefern kann. ich krieg einfach das exefile nicht vom internet auf den rechner, ich bin also noch gar nicht soweit, dass ich ein dos kommando, oder was immer CMD auch sein mag, starten kann.

bis dann

OK mbr.exe ausgeführt und log erhalten, sieht ja gut aus:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

ich konnte die datei im abgesicherten modus in windows xp vom link aus ohne probleme herunterladen. diverse foren bestätigen, dass die av programme sich gelegentlich gegen diese exe-datei sträuben.
wenn ich den ordner öffne, in welchem mbr.exe liegt, schlägt avg tatsächlich immer noch an, mit der meldung:
"trojan horse BackDoor.Generic10.EZZ". ist wohl die warnung vor dem messer, von dem du sprachst.

bin ich jetzt clean?