|
Plagegeister aller Art und deren Bekämpfung: Monder.gen und SuperJuan nerven :(Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
07.09.2008, 14:38 | #1 |
| Monder.gen und SuperJuan nerven :( Hallo Leute, ich komme gleich einmal zu meinem Problem: Geschichte - Interessant, aber belanglos Ich habe mir meinen Computer vor einem Jahr neu zusammengebastelt (einige Komponenten wurden ausgetauscht, darunter auch die Festplatte). Ich habe Windows XP Professional SP2 installiert und dachte mir: ich werde keinen Antivirus brauchen, da ich sowieso demnächst auf Linux umsteigen werde. Nunja, nach über einem Jahr, sitze ich noch immer vor WinXP :P Vor einer Woche began es... Letzte Woche dann, habe ich den Computer eingeschalten und plötzlich habe ich kein Hintergrundbild mehr, sondern nur noch eine "Fehlermeldung" am Desktop (auf Englisch) die mir sagte, dass mein Antivirus alt sei, etc. ... Ich wusste sofort: oje, ein Virus! Das Problem dabei ist: ich habe mir nur ein neues Spiel installiert und war auf einigen Homepages (und diese Homepages sind vertrauenswürdig, da ich deren Webmaster kenne). Meine erste Reaktion (nach dem Fluchen...) war nun: LAN-Kabel abgezogen, Computer in den Abgesicherten Modus gefahren und mir von meinem Paps Kaspersky Internet Security geholt. Diesen wollte ich eigentlich vermeiden, weil der KIS bei mir den Spitznamen: KIS - Paranoity Edition bekommen hat... egal. Ich habe ihn installiert, updates auch gleich mitgegeben (per USB-Stick die Updates kopiert, nicht per Internet heruntergeladen) und habe ihn gleich einmal scannen lassen. Er hat 2 Stunden gebraucht und hat 22 Viren gefunden - gleich alle gelöscht (ohne zu desinfizieren). Doch leider war es damit nicht getan, seit einer Woche bekomme ich täglich 2-3x den gleichen Virus mit anderem Dateinamen angezeigt. (Auch hat mir ein Virus den Task-Manager per Registry-Eintrag deaktiviert, konnte ich aber wieder aktivieren indem ich den Eintrag gelöscht hatte) Die Viren die mein KIS nun täglich findet sind: SuperJuan und Monder.gen Meine Frage nun: Wie werde ich diese Dinger wieder los? Habe mich ein wenig durch euer Forum gearbeitet und habe gleich einmal Malwarebytes durchlaufen lassen, sowie HiJackThis. Hier die Logs: HiJackThis-Logfile Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:17:53, on 07.09.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe C:\Programme\TGTSoft\StyleXP\StyleXP.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\PnkBstrA.exe c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\Programme\Mozilla Firefox\firefox.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank O2 - BHO: (no name) - {4B467A85-7FB9-45CC-A572-7F6E75463C57} - C:\WINDOWS\system32\qoMcbxUn.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: c:\progra~1\kasper~1\kasper~1.0\adialhk.dll O20 - Winlogon Notify: rqRiIXpM - C:\WINDOWS\ O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe -- End of file - 6917 bytes Code:
ATTFilter Malwarebytes' Anti-Malware 1.26 Datenbank Version: 1122 Windows 5.1.2600 Service Pack 2 07.09.2008 14:48:29 mbam-log-2008-09-07 (14-48-29).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 194529 Laufzeit: 42 minute(s), 51 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 1 Infizierte Registrierungsschlüssel: 15 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 3 Infizierte Dateien: 23 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: C:\WINDOWS\system32\pibucqai.dll (Trojan.Vundo) -> Delete on reboot. Infizierte Registrierungsschlüssel: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a2a50d3c-6d24-4d72-9e73-26cd9f32fbdc} (Trojan.BHO.H) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{a2a50d3c-6d24-4d72-9e73-26cd9f32fbdc} (Trojan.BHO.H) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\getsn32.msiesn (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\Interface\{1abd6dac-9e20-4e9e-a13f-8879e08c30bc} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_CLASSES_ROOT\CLSID\{a55ca42c-bf8a-4491-9073-6e32fc4e6250} (Trojan.BHO) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{109be732-8f8c-49d4-a3f4-fedcac7f0a25} (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\dslcnnct (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\IProxyProvider (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: C:\Programme\webHancer (Adware.Webhancer) -> Quarantined and deleted successfully. C:\Programme\webHancer\Programs (Adware.Webhancer) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\dtsc (Trojan.Agent) -> Quarantined and deleted successfully. Infizierte Dateien: C:\WINDOWS\system32\pibucqai.dll (Trojan.BHO.H) -> Delete on reboot. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HIJ05E3\kb456456[1] (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8HIJ05E3\kb767887[1] (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8PQV8PEF\c5ro[1].dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8PQV8PEF\kb671231[1] (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WPM38LAB\CAQZ27IT (Trojan.Vundo) -> Quarantined and deleted successfully. C:\System Volume Information\_restore{AFE7E462-574A-4163-82E0-B79A14554618}\RP180\A0050475.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\ehwutqlr.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\gwkavfvn.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\pqvtsbds.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\system32\qycvhseb.dll (Trojan.Vundo) -> Quarantined and deleted successfully. C:\Programme\webHancer\Programs\license.txt (Adware.Webhancer) -> Quarantined and deleted successfully. C:\Programme\webHancer\Programs\readme.txt (Adware.Webhancer) -> Quarantined and deleted successfully. C:\Programme\webHancer\Programs\sporder.dll (Adware.Webhancer) -> Quarantined and deleted successfully. C:\Programme\webHancer\Programs\whagent.exe (Adware.Webhancer) -> Quarantined and deleted successfully. C:\Programme\webHancer\Programs\whagent.ini (Adware.Webhancer) -> Quarantined and deleted successfully. C:\Programme\webHancer\Programs\whinstaller.exe (Adware.Webhancer) -> Quarantined and deleted successfully. C:\Dokumente und Einstellungen\***\Anwendungsdaten\Microsoft\dtsc\s (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> Quarantined and deleted successfully. C:\WINDOWS\default.htm (Trojan.Agent) -> Quarantined and deleted successfully. C:\WINDOWS\pskt.ini (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\BM0bc85d88.xml (Trojan.Vundo) -> Quarantined and deleted successfully. C:\WINDOWS\BM0bc85d88.txt (Trojan.Vundo) -> Quarantined and deleted successfully. Ich weiß zwar nicht was genau ihr da herausfinden könnt, bin aber über jede hilfe dankbar, da selbst dieses Malwarebytes-Programm das Problem nicht gelöst hat, denn KIS hat schon wieder diesen Virus SuperJuan gefunden Hoffe ihr könnt mir helfen Ich werde zwar bald auf Linux umsteigen, aber noch brauche ich Windows XP (leider)... In Verzweiflung, Michael |
07.09.2008, 16:45 | #2 |
/// AVZ-Toolkit Guru | Monder.gen und SuperJuan nerven :( Halli hallo Michael
__________________Um alle weiteren Hilfeleistungen zu erleichtern und deine Systemsicherheit zu erhöhen arbeite bitte folgendes gründlich ab:
ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Wichtiger Hinweis: Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Update danach Kis, wähle die höchste Sicherheitsstufe und mache einen Rootkitscan im abgesicherten Modus. PS: Ohne AV-Prog sollte man sich nur im Netz bewegen wenn mann sein System immer uptodate hält (das ist/war bei dir nicht der Fall) und außerdem sehr viel Ahnung hat von dem was man tut. Du wirkst nicht wie ein DAU aber es gehört schon einiges dazu... Übrigens können auch "vertrauenswürdige" Sites ohne Wissen des Webmasters infiziert sein.
__________________ |
08.09.2008, 18:12 | #3 |
| Monder.gen und SuperJuan nerven :( Hallo,
__________________erstmal danke für deine Antwort! Nachdem ich meinen Post geschrieben hatte, habe ich CCleaner einmal heruntergeladen (tolles Programm, funktioniert besser als TuneUp Utilities ) und gestartet, wie es bei euch in eurem "HowTo" steht. Gesagt getan - Anschließend habe ich nochmal KIS suchen lassen, diesmal den gesamten Arbeitsplatz. Keine Fehler/Viren-Meldung. Dachte mir: Gut, schauen wir morgen (also heute) nochmal. Habe ihn hochgefahren - keine Fehler/Viren-Meldung. Ich lasse jetzt nochmal KIS mit Rootkit durchlaufen, so wie du es empfohlen hattest. Aber ich denke ich bin den komischen Trojaner und seinen lustigen Kameraden los. Kannst du mir sagen was diese Viren anstellen? Auf viruslist.com werden beide nicht gefunden... Danke! |
08.09.2008, 18:23 | #4 |
/// AVZ-Toolkit Guru | Monder.gen und SuperJuan nerven :( Sie loggen deine Surfgewohnheiten mit und laden dir dann entsprechende AdAware auf den Rechner die dir Werbung einblendet die ihrer Meinung nach zu dir passt. Prinzipiell nichts anderes als google das auch tut. Nur ein bischen aggressiver.
__________________ - Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben - |
08.09.2008, 20:14 | #5 |
| Monder.gen und SuperJuan nerven :( Hi, also: das klingt ja relativ schlimm. Ich meine das loggen von meinem Surfverhalten. Naja... Viren sind halt böse, da kann man nichts machen. Mein KIS hat den Rootkitscan gerade abgeschlossen, ohne eine einzige Warnung oder Virenmeldung. Ich denke das ist jetzt behoben worden. Was meinst du? Soll ich nochmal HijackThis und Malwarebytes drüber laufen lassen? Würde da noch etwas gefunden werden? Ich möchte nämlich sicher sein, dass die Viren "tot" sind. Zumindest auf meinem Computer mfg Michael |
Themen zu Monder.gen und SuperJuan nerven :( |
abgesicherten modus, adware.webhancer, antivirus, bho, browser, computer, content.ie5, ctfmon.exe, desinfizieren, desktop, excel, festplatte, firefox, frage, gebraucht, helfen, hijack, hkus\s-1-5-18, internet explorer, internet security, kaspersky, kis, konvertieren, malware.trace, malwarebytes' anti-malware, mozilla, pdf-datei, problem, registrierungsschlüssel, scan, security, software, system, toolbars, updates, usb-stick, viren, windows, windows xp |