Moin,
bin neuling hier, da ich bisher mit meinen viren immer klar gekommen bin. Ich darf jetzt den rechner von ner bekannten fixen, die leider ne dumme mail mit bösem anhang geöffnet hat^^

Naja wie dem acuh sei, ich hab versucht aus all den andern beiträgen über diesen trojaner schlau zu werden und dabei festgestellt, dass das wohl nur individuell geht. ich hoffe ich mache alles richtig, wenn ich hier erstmal schreibe was ich alles schon gemacht hab:

Als erstes hab ich McAffe von ihrem rechner verbannt und Avira AV und Zonealarm drauf gemacht.
Nexter schritt war MB AntiMalware im abgesicherten laufen lassen.
Der konnte natürlich einige der zufällig generierten dlls (die offensichtlich jedem laufenden prozess zugewiesen werden ) nich löschen, hab ich dann manuell mit nem BartPE-BootCDlein gemacht.
2 neustarts lang funzt das auch, danach is der gute aber wieder mit ner frisch generierten .dll zurück.

Meine erste frage ist: soll ich erstaml eigenmächtig alles posten, was ich für wichtig halte (malwarebytes logs, HJT logs) oder step by step eure anweisungen ausführen (ich frage, weil mein halbwissen gerne mit echtem profiwissen probleme macht^^)

Danke schonmal, sollte euch vorerst, das HJT log nich intressiern, ignorierts einfach^^ (alle datein anzeigen, ist natürlich an.)

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:34:29, on 09.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\fxssvc.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Dell Photo AIO Printer 944\memcard.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\WINDOWS\regedit.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =w.google.de/ig?hl=de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = w.go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =w.go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = w.go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = w.go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = w..euro.dell.com/
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {7998f598-4e28-4ab3-8a16-06f76fdbb58a} - C:\WINDOWS\system32\hizapego.dll
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [DLCDCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLCDtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [dlcdmon.exe] "C:\Programme\Dell Photo AIO Printer 944\dlcdmon.exe"
O4 - HKLM\..\Run: [MemoryCardManager] "C:\Programme\Dell Photo AIO Printer 944\memcard.exe"
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -startup
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [tiwiyigasu] Rundll32.exe "C:\WINDOWS\system32\yaponema.dll",s (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - w.//a1540.g.akamai.net/7/1540/52/20070501/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - w.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1228518744578
O17 - HKLM\System\CCS\Services\Tcpip\..\{553B051D-A5BB-4F2B-A689-2943011645E4}: NameServer = 62.109.123.6 213.191.92.87
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINDOWS\system32\nozahiti.dll c:\windows\system32\lipewedi.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

--
End of file - 7586 bytes

ich hoffe ich hab nichts zu editierendes übersehn... hab aber weder links, noch irgentwas mit benutzernamen gefunden.

EDIT: hab grad nen paar links gefunden, die ich natürlich sofort geedited hab
EDIT2: und noch mehr^^
EDIT3: bin übrigenz die nexten 6 stunden am rechner, also wenn was is einfach sagen ich drück alle paar sec F5 (jap, IE user aus überzeugung, solang man die updates macht^^)

Du hast an dem System ja anscheinend schon rumgelöscht... falls nicht korrigiere mich.

Ich glaube aber du surfst nicht über Deutschland
O17 - HKLM\System\CCS\Services\Tcpip\..\{553B051D-A5BB-4F2B-A689-2943011645E4}: NameServer = 62.109.123.6 213.191.92.87

Ich glaube die Ukraine lässt grüßen. Kann aber auch ein Fehlalarm sein ich weiß nicht wo ich das zuverlässig prüfen kann! Vll kann mir mal ein Erfahrener User ne Quelle nennen wo ich solche Ips überprüfen kann. Habs nur grade über Google gesucht und dort seht das das nach Ukraine schreit.

Das heißt deine Datenfluß könnte "abgehört" worden sein. Ändere alle wichtigen Onlinepasswörter von einem sauberen System. Warte auf weiter Posts. Ich muss mich mal erkundigen. Vll schreibt ja auch noch wer anderes.

volkommen richtig, ich sitze an dem ding schon 3 tage^^
jop, alles von wert wurde über dritten rechner sofort geändert.
nen komplettes backup (natürlich virenfrei) ist auch schon gezogen, für den format fall.
Danke fürs schnelle reply (sucht ihr noch leute? )

Wofür suchen wir noch Leute?

Kannste mal vorsichtshalber C:\WINDOWS\system32\dla\tfswshx.dll bei Virustotal.com prüfen.

Und weißte noch was du alles gelöscht hast? Hast du davon ne Doku?

Aber ich denke mal wenn der Rechner wirklich über die Urkaine läuft war der Befall so stark das man den Rechner formatieren sollte damit das System wieder komplett vertraunswürdig ist.

Aber warte mal auf Posts von den Spezis hier... bin noch bissel unerfahren auf dem Gebiet, ich lerne aber gerne dazu.

1) ob ihr noch staff sucht
2) hab noch alle logs, aber der rechner war sowas von im eimer, dass ich mir nich vorstelln kann dass ihr euch das alles ansehn wollt (über 500 funde, mindestenz 40 verschiedene sachen)
3) Ja, die Neuaufsetzen befürchtung hab ich auch, is nur leider son dell laptop, wo das OS auf ner versteckten partition im rechner is und nich auf cd, und ob das virenfrei geblieben is ...

Ja dann bleibt und ja nichts anderes über als die Möglichkeiten mal anzusehen aber ich glaube bei 500 Funden lohnt sich das gar nimmer xD

Egal poste mal, interessiert mich!

Bis ich das dann druchhabe dauert das aber etwas!xD

Das mit dem neumachen wird aber immer wahrscheinlicher....