tojouc.exe und wufammimmy.exe

Morlin · 30.10.2008, 13:37

Hallo Leute,

habe ein großes Problem seit heute morgen.

Ich kann bestimmte Einträge im hijack.this nicht löschen, die Dinger sind unter O4 und O23 im HijackThis aufgetaucht, und zwar wufammimmy.exe und tojouc.exe.

Weiterhin schafft es SpybotS&D nicht, die Datei "msvcrt.dll" zu untersuchen, da tauchen dann Dinger wie "Baciami, TangoDialer und LocatorBar" auf!

Bitte helft mir, was soll ich tun? AntiVir wird beim Startup auch nicht mehr geladen (wird wohl verhindert), hier der Log von HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:09:42, on 30.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
C:\WINDOWS\SOUNDMAN.EXE
M:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\TRIXX\TRIXX.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\tojouc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
c:\programme\antivir personaledition classic\avscan.exe
C:\Programme\Mozilla Firefox\firefox.exe
M:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [VOBRegCheck] C:\WINDOWS\System32\VOBREGCheck.exe -CheckReg
O4 - HKLM\..\Run: [LVCOMS] C:\Programme\Gemeinsame Dateien\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Programme\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [TRIXX] "C:\Programme\TRIXX\TRIXX.exe" -s
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunServices: [jyquibof] C:\WINDOWS\system32\wufammimmy.exe
O4 - HKLM\..\RunOnce: [Spybot - Search & Destroy] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9A1875E7-618A-4589-98C6-A4A601DE7D2B}: NameServer = 192.168.1.1
O18 - Protocol: haufereader - (no CLSID) - (no file)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - M:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: TVersityMediaServer - Unknown owner - M:\Programme\TVersity\Media Server\MediaServer.exe
O23 - Service: Websense CPM Report Scheduler (up6uqnay9i2jqon) - Unknown owner - C:\WINDOWS\system32\tojouc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 6499 bytes

Chuck0r · 30.10.2008, 16:09

Moin,

Lade zuerst diese 3 Dateien bei VirusTotal hoch und poste die Ergebnisse.

Code:

ATTFilter

C:\WINDOWS\system32\wufammimmy.exe
C:\WINDOWS\system32\tojouc.exe

Scanne dann deinen PC mit Malwarebytes Anti-Malware und poste ebenfalls das Logfile.

MfG Chuck0r

Morlin · 30.10.2008, 17:51

tojouc.exe habe ich schon gelöscht seitdem geht AntiVir wieder, hier das Ergebnis von wufammimmy.exe

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.10.30.1 2008.10.30 -
AntiVir 7.9.0.10 2008.10.30 BDS/Agent.rtg
Authentium 5.1.0.4 2008.10.30 -
Avast 4.8.1248.0 2008.10.30 -
AVG 8.0.0.161 2008.10.30 Worm/Generic_r.BF
BitDefender 7.2 2008.10.30 -
CAT-QuickHeal 9.50 2008.10.29 -
ClamAV 0.93.1 2008.10.30 -
DrWeb 4.44.0.09170 2008.10.30 -
eSafe 7.0.17.0 2008.10.30 Suspicious File
eTrust-Vet 31.6.6180 2008.10.29 -
Ewido 4.0 2008.10.30 -
F-Prot 4.4.4.56 2008.10.29 -
F-Secure 8.0.14332.0 2008.10.30 -
Fortinet 3.117.0.0 2008.10.28 -
GData 19 2008.10.30 -
Ikarus T3.1.1.44.0 2008.10.30 Backdoor.Win32.Oderoor.D
K7AntiVirus 7.10.512 2008.10.30 -
Kaspersky 7.0.0.125 2008.10.30 -
McAfee 5418 2008.10.30 -
Microsoft 1.4005 2008.10.30 -
NOD32 3570 2008.10.30 a variant of Win32/Meslice.A
Norman 5.80.02 2008.10.30 -
Panda 9.0.0.4 2008.10.29 -
PCTools 4.4.2.0 2008.10.30 -
Prevx1 V2 2008.10.30 Malicious Software
Rising 21.01.32.00 2008.10.30 -
SecureWeb-Gateway 6.7.6 2008.10.30 Trojan.Backdoor.Agent.rtg
Sophos 4.35.0 2008.10.30 Mal/EncPk-CK
Sunbelt 3.1.1764.1 2008.10.29 -
Symantec 10 2008.10.30 -
TheHacker 6.3.1.1.134 2008.10.30 -
TrendMicro 8.700.0.1004 2008.10.30 -
VBA32 3.12.8.9 2008.10.30 -
ViRobot 2008.10.30.1445 2008.10.30 -
VirusBuster 4.5.11.0 2008.10.30 -
weitere Informationen
File size: 198656 bytes
MD5...: 6457db429fec2391d9149a1cb84f0c77
SHA1..: f24f2c2f36a7ee5e19220c064cef6ac1f12654dd
SHA256: 84a957e134fe25c9a563e1d4710dd5f53677ee7d02d22652bb2a0e986911fb6e
SHA512: d5af327f7264b35bc73049c207a15793e67c24229115301f815b5128c4a09138
90ef2bd6ace0c4626e2cad3a371c58d8b4ad49c4c809bfcd4bf392b8cd32091a
PEiD..: -
TrID..: File type identification
UPX compressed Win32 Executable (60.3%)
Win32 Executable Generic (16.8%)
Win32 Dynamic Link Library (generic) (14.9%)
Generic Win/DOS Executable (3.9%)
DOS Executable Generic (3.9%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x447d4f
timedatestamp.....: 0x467a551e (Thu Jun 21 10:38:22 2007)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3d3f 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x5000 0xa82 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.data 0x6000 0x17ebc 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.UPX0 0x1e000 0xe985 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.UPX1 0x2d000 0x30307 0x30400 7.84 8c3969ca817e65296ffb99ecb2f8465e

( 4 imports )
> KERNEL32.dll: GetPrivateProfileStringA, OpenEventW, OutputDebugStringA, GetModuleHandleA, HeapUnlock, GetStringTypeA, LCMapStringW, LCMapStringA, MultiByteToWideChar, WriteConsoleW, GlobalAlloc, EscapeCommFunction, SetComputerNameW, SetMailslotInfo, MoveFileExA, LocalUnlock, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, GetCurrentThreadId, TlsSetValue, TlsAlloc, SetLastError, TlsGetValue, GetLastError, HeapDestroy, HeapCreate, VirtualFree, HeapFree, RtlUnwind, WriteFile, InitializeCriticalSection, EnterCriticalSection, LeaveCriticalSection, GetCPInfo, GetACP, GetOEMCP, HeapAlloc, VirtualAlloc, HeapReAlloc, GetProcAddress, LoadLibraryA, GetStringTypeW
> USER32.dll: SetScrollPos, GetSysColor, UnhookWindowsHook
> GDI32.dll: SetGraphicsMode, CreateFontA, PolyTextOutW, SelectClipRgn, ResetDCA, PlgBlt, SetDIBitsToDevice
> KERNEL32.dll: VirtualProtect

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=C0DD859B00EB727608F8038DEBB9450024EDE707

ACHTUNG ACHTUNG: VirusTotal ist ein kostenloser Dienst bereitgestellt von Hispasec Sistemas. Es gibt keine Garantie zur Verfügbarkeit sowie Fortbestehen der Dienstleistung. Obwohl die Erkennungsrate mehrerer Antivirus-Engines besser ist als nur durch ein Produkt, garantieren die Ergebnisse des Scans nicht die Harmlosigkeit einer Datei. Gegenwärtig gibt es keine Lösung, welche eine Erkennungsrate aller Viren und Malware zu 100% bietet.

Scan another file
VirusTotal © Hispasec Sistemas - Blog - Kontakt: info@virustotal.com - Terms of Service

Chuck0r · 30.10.2008, 19:13

Moin,

Sieht leider nicht so gut aus, da du dir einen Backdoor-Trojaner eingefangen hast, der noch nichtmal richtig erkannt wird. Um deinen PC wirklich wieder sauber zu bekommen musst du leider formatieren.
Klick

MfG Chuck0r

Morlin · 30.10.2008, 19:45

Hier das Logfile von Malwarebytes (hat zwei Objekte in der Registry gefunden):

Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1340
Windows 5.1.2600 Service Pack 3

30.10.2008 20:37:25
mbam-log-2008-10-30 (20-36-52).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|L:\|M:\|S:\|)
Durchsuchte Objekte: 288543
Laufzeit: 2 hour(s), 40 minute(s), 54 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b64f4a7c-97c9-11da-8bde-f66bad1e3f3a} (Rogue.WinAntivirus) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\MediaLoads (Adware.Medload) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Chuck0r · 30.10.2008, 22:14

Zitat:

Zitat von Chuck0r

Moin,

Sieht leider nicht so gut aus, da du dir einen Backdoor-Trojaner eingefangen hast, der noch nichtmal richtig erkannt wird. Um deinen PC wirklich wieder sauber zu bekommen musst du leider formatieren.
Klick

MfG Chuck0r

Wie du siehst wird er auch nicht von Malwarebytes erkannt. Jetzt einfach eine Datei löschen wird wohl nicht reichen.

MfG Chuck0r

Morlin · 31.10.2008, 08:15

Malwarebytes hat doch zwei Registrierungsschlüssel erkannt!

Außerdem hat AntiVir (nach einem Update) den Trojaner gefunden und gekillt!

Zitat:

Zitat von Chuck0r

Wie du siehst wird er auch nicht von Malwarebytes erkannt. Jetzt einfach eine Datei löschen wird wohl nicht reichen.

MfG Chuck0r

Chuck0r · 31.10.2008, 14:18

Moin,

Muss aber nicht heißen, dass das alles war. Backdoor-Trojaner sollte man nicht unterschätzen. Auch wenn nichts mehr im HiJackThis-Logfile zu finden ist kann der Trojaner immer noch da sein. Les dir doch mal meinen Link durch: Klick

Du kannst den PC natürlich auch so lassen. Ist deine Sache.

MfG Chuck0r

Morlin · 31.10.2008, 16:24

Reicht es denn WINDOWS platt zu machen? Die 2. Festplatte kann ich doch unverändert lassen oder?

Chuck0r · 31.10.2008, 16:54

Zitat:

Q: Was bedeutet Neuaufsetzen?
A: Es sollte mindestens die System-Partition (i.d. Regel C: ), besser aber alle befindlichen Partitionen der Festplatte, gelöscht werden. Anschliessend wird die Festplatte bei der Installation des Betriebssytems neu partitioniert und das System gemäss der nachfolgenden Anleitung abgesichert.

MfG Chuck0r

30.10.2008, 16:09	#2
Chuck0r	tojouc.exe und wufammimmy.exe Moin, Lade zuerst diese 3 Dateien bei VirusTotal hoch und poste die Ergebnisse. Code: ATTFilter C:\WINDOWS\system32\wufammimmy.exe C:\WINDOWS\system32\tojouc.exe Scanne dann deinen PC mit Malwarebytes Anti-Malware und poste ebenfalls das Logfile. MfG Chuck0r __________________ __________________

30.10.2008, 19:13	#4
Chuck0r	tojouc.exe und wufammimmy.exe Moin, Sieht leider nicht so gut aus, da du dir einen Backdoor-Trojaner eingefangen hast, der noch nichtmal richtig erkannt wird. Um deinen PC wirklich wieder sauber zu bekommen musst du leider formatieren. Klick MfG Chuck0r __________________ Malwarebytes Anti-Malware Combofix HijackThis Virustotal AVG Anti-Rootkit

31.10.2008, 16:24	#9
Morlin	tojouc.exe und wufammimmy.exe Reicht es denn WINDOWS platt zu machen? Die 2. Festplatte kann ich doch unverändert lassen oder? __________________ The stars know the answer, but what was the question?

tojouc.exe und wufammimmy.exe

Log-Analyse und Auswertung: tojouc.exe und wufammimmy.exe