Hallo an alle,
ich habe seit ein paar Tagen einen Virus auf meinem Rechner, der bei euch schon desöfteren behandelt worden sein dürfte, wie zum Beispiel hier:
KLICK
Die dazugehörigen Threads habe ich großteils bereits durchgestöbert und mir folgende Anleitung zur Beseitigung des Viruses herausgesucht:

Zitat:

Zitat von myrtille

Hi,

Wenn du die Logs aus dem Notepad herauskopierst, stelle bitte vorher sicher, dass du unter Extras den Haken bei "Zeilenumbruch" entfernt hast. Das macht die Logs für uns schwerer zu lesen.

poste bitte folgende Sachen, danach sollte es auch deinem Rechner wieder deutlich besser gehen:

• Ein Log von Smitfraudfix. Arbeite dort direkt die Schritte unter "Reinigung" ab.
• Lass danach bitte Malwarebytes deinen Rechner scannen und alles was es findet entfernen. Poste das Logfile danach ebenfalls hier
• Starte deinen REchner neu
• Erstelle ein Logfile mit DSS und poste es ebenfalls hier

Anleitung DSS

• Lade dir DSS
• Schließe alle Anwendungen und führe DSS.exe dann mit einem Doppelklick aus
• Führe während DSS arbeitet bitte keine anderen Aktionen durch
• Am Ende öffnen sich 2 Datein main.txt und extra.txt
• Poste den Inhalt beider Dateien hier, sollten die Dateien zu groß sein, benutze bitte file-upload und poste die Links hier.

lg myrtille

Allerdings ist die Seite des Links "DSS" nicht mehr aktiv und ich konnte dieses Programm noch nicht durchlaufen lassen. Alles weitere ist erledigt und ich werde die Log's im nächsten Beitrag auch gleich posten.

Ich wäre euch sehr dankbar, wenn ihr mir weiterhelfen könntet.
Danke schon mal im vorraus.

SmitfraudFix.exe
SmitFraudFix v2.354

Scan done at 13:45:26,95, 29.09.2008
Run from C:\Dokumente und Einstellungen\FRITZ\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is FAT32
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost
127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri
C:\WINDOWS\dfmlxbpkbkl.dll deleted.
C:\WINDOWS\peltodgx.dll deleted.


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.
»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\WINDOWS\fbxrqtwn.exe Deleted
C:\WINDOWS\onfwbsak.dll Deleted
Deleting [HKEY_CLASSES_ROOT\CLSID\{A046E9BA-5AB1-4FC3-91BE-4CE3F5AAD120}]
C:\Programme\PCHealthCenter\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix

AntiXPVSTFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» RK


»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End



MalwareBytes
Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1134
Windows 5.1.2600 Service Pack 2

29.09.2008 15:22:01
mbam-log-2008-09-29 (15-21-52).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 148773
Laufzeit: 1 hour(s), 20 minute(s), 35 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 15
Infizierte Verzeichnisse: 0
Infizierte Dateien: 7

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\SpamBlockerUtility (Adware.Hotbar) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.Homepage) -> Bad: (http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2) Good: (http://www.google.com/) -> No action taken.
HKEY_CURRENT_USER\Control Panel\International\sTimeFormat (Trojan.FakeAlert) -> Bad: (HH:mm: VIRUS ALERT!) Good: (HH:mm:ss) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowControlPanel (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowRun (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuMorePrograms (Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives (Hijack.Drives) -> Bad: (12) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoToolbarCustomize (Hijack.Explorer) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders (Hijack.Explorer) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispCPL (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\rwlfsdmk.dll (Trojan.Zlob) -> No action taken.
C:\Dokumente und Einstellungen\FRITZ\Desktop\Spyware&Malware Protection.url (Rogue.Link) -> No action taken.
C:\Dokumente und Einstellungen\FRITZ\Desktop\Privacy Protector.url (Rogue.Link) -> No action taken.
C:\Dokumente und Einstellungen\FRITZ\Desktop\Error Cleaner.url (Rogue.Link) -> No action taken.
C:\Dokumente und Einstellungen\FRITZ\Favoriten\Error Cleaner.url (Rogue.Link) -> No action taken.
C:\Dokumente und Einstellungen\FRITZ\Favoriten\Privacy Protector.url (Rogue.Link) -> No action taken.
C:\Dokumente und Einstellungen\FRITZ\Favoriten\Spyware&Malware Protection.url (Rogue.Link) -> No action taken.


Das wärs mal fürs Erste!

Hi,

ja, DSS existiert nicht mehr.
Nutze stattdessen bitte RSIT:
Erstelle bitte ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien hier. (Wenn die Dateien zu lange sind kannst du sie bei file-upload hochladen und die Links hier posten.)

lg myrtille

Ok, erledigt:
info.txt
log.txt

Aber komplett kann der Wurm noch nicht entfernt sein, da ich gerade auf dieser Seite Probleme hatte und ohne mein zutun immer wieder 2 Seiten nacheinander geladen wurden.

Hi,

lösch bitte folgende Datei:

Zitat:

C:\WINDOWS\exwf.exe

und fixe folgende Einträge mit Hijackthis:

Zitat:

3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: (no name) - {259F616C-A300-44F5-B04A-ED001A26C85C} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Spiele\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Spiele\PartyPoker\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)

und berichte wie sich dein Rechner nun verhält.

lg myrtille

Es scheint so, also ob wieder alles beim alten ist.
Kann ich das irgendwie auch überprüfen?

Außerdem hätte ich noch ein paar kleine Fragen:
Soll ich die für die Beseitigung des Viruses verwendeten Programme wieder löschen?
Hättest du vielleicht sonst noch ein paar Tipps zur Verbesserung meines Rechners, nachdem du die log-files durchgesehen hast?

Hi
RSIT, Smitfraudfix kann man einfach so löschen
Malwarebytes und HijackThis können über Start->Systemsteuerung->Software deinstalliert werden.

Ich würde dir empfehlen Malwarebytes zu behalten und gelegentlich deinen Rechner damit zu scannen.

Deinstallier bitte über Start->Systemsteuerung->Software alle installierten Javaversionen und lade dir danach, wenn nötig, die neueste Javaversion von Sun herunter.

Wenn du all diese Schritte durchgeführt hast, und keine Probleme aufgetreten sind, dann kannst du noch die Systemwiederherstellung de- und reaktivieren, indem du unter Start->Systemsteuerung->System->Systemwiederherstellung den Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" setzt und später wieder rausnimmst.
Damit werden alle Wiederherstellungspunkte und darin eventuell vorhandene Reste der Infektion gelöscht.

Dann sollte dein Rechner wie neu sein

lg myrtille

Besten Dank!

Hätte mir nicht gedacht, dass es so schnell erledigt ist!

Gern geschehen.

Die von dir genutzten Programmen sind auf derartige Malware spezialisiert, da muss man zum Glück nur selten nochmal nach helfen.

lg myrtille