HILFE! Trojaner, Abstürze und mehr...

Alirion · 10.08.2004, 13:34

Hallo zusammen,
ich habe ein riesen Problem mit ein paar Trojanern, die sich scheinbar schon etwas länger in meinem Rechner tummeln...
Aufgefallen ist mir das ganze als eine neue Startseite im IE aufgetaucht ist ("res://C:\WINDOWS\system32\cnzum.dll/index.html#96676") - ich hab sofort Norton drüberlaufen lassen, allerdings ohne Erfolg...) Schon leicht angesäuert hab ich dann Norton runtergeschmissen und AntiVir installiert, und siehe da - über 40 Trojanerverseuchte Dateien wurden gefunden und gelöscht.
Leider hat das mein Problem nicht ganz gelöst, denn obwohl AntiVir bei seinem Scan ein virenfreies System anzeigt, ploppt im 10 Sekunden-Tkt folgendes AntiVir-Warnfenster auf:

"ACHTUNG!
C:\WINDOWS\SYSTEM32\JAVARE.DLL
Ist das Trojanische Pferd TR/Dldr.Agent.BQ.1"

bzw.

"ist das Trojanische Pferd TR/Spy.Tofger.BI.2"

bzw.

"ist das Trojanische Pferd TR/Spy.Tofger.BI.5"

wobei scheinbar ziemlich viele dateien verseucht sind, da andauernd vor anderen Dateien gewarnt wird.

In diesem Forum hab ich dann gelesen daß eine Überprüfung mit e-scan im abgesicherten Modus helfen könnte, doch leider stürzt Windows´immer beim scan von "C:\I386\Lang\.." ab; beim nachfolgenden blauen "Schwerer-Ausnahmefehler-Bildschirm" steht dann "KERMEL DATA INPAGE ERROR".
Scheinbar ist die Datei "C:\I386\Lang\U4L2CE.SWF" dafür verantwortlich...sagt zumindest AntiVir, das auch immer im abgesicherten Modus abschmiert.Diese Datei müsste ich doch eigentlich löschen können,oder? *.swf ist doch nur die Small Web Format Endung für Flashfilmchen?!

Ein weiteres Problem ensteht beim booten von Windows in "Normal-Modus", da hier automatisch Adobe Illustartor gestartet wird, um eine Datei mit dem Namen "" (ja, so scheint die wirklich zu heißen) zu öffnen, was natürlich nicht klappt da die Datei nicht gefunden wird. Ich habe daraufhin Illustrator deinstalliert, wobei jetzt nach Illustrator gefragt wird um jene Datei zu öffnen.

Ich weiß leider wirklich nicht mehr weiter. Ich habe mein System im normalen Windows-Modus mit Norton, AntiVir, a², CWShredder und e-scan überprüft (immer schön den alten Virenscanner deinstalliert bevor ich den neuen draufgepackt habe...), das Trojanerproblem scheint aber (wie die Warnungs-Popups von AntiVir zeigen) nicht behoben zu sein - im Gegenteil: Ich habe den Eindruck das sich das ganze dadurch noch verschlimmert hat (siehe Totalabsturz und Illustrator...)

Als scheinbar letzte Möglichkeit hab ich mir dann HijackThis runtergeladen, allerdings beschränken sich meine Computerkentnisse eigentlich auf Diablo II daddeln, Grafikbearbeitung und rumsurfen, dementsprechend verstehe ich leider hier nur Bahnhof welche Dateien gefährlich, unnötig oder sogar wichtig sind...
Ich poste jetzt einfach mal das Logfile in der Hoffnung daß ihr mir weiterhelfen könnt...

Logfile of HijackThis v1.97.7
Scan saved at 14:28:04, on 10.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Nhksrv.exe
C:\Eigene Programme\AntiVir\AVGUARD.EXE
C:\Eigene Programme\AntiVir\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\ircomm2k.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\PROGRA~1\MICROS~4\GAMECO~1\Common\SWTrayV4.exe
C:\WINDOWS\mfcms32.exe
C:\Eigene Programme\AntiVir\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\Explorer.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\DEBUGSM.INI:ikoph
C:\Dokumente und Einstellungen\Philip Schmidt-Beer\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\cnzum.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\cnzum.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\system32\cnzum.dll/index.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\cnzum.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\system32\cnzum.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\cnzum.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\cnzum.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://C:\WINDOWS\system32\cnzum.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\cnzum.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\cnzum.dll/sp.html#96676
F2 - REG:system.ini: Shell=Explorer.exe
O2 - BHO: (no name) - {7A23E735-EC07-BB26-5CF0-DCDEBB6EADC9} - C:\WINDOWS\sdkvf.dll (file missing)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MICROS~4\GAMECO~1\Common\SWTrayV4.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mfcms32.exe] C:\WINDOWS\mfcms32.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Eigene Programme\AntiVir\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKLM\..\RunOnce: [ikoph] C:\WINDOWS\DEBUGSM.INI:ikoph
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: D-Info Starter.lnk = C:\Eigene Programme\D-Info\dinfostarter.exe
O4 - Global Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\E_SRCV02.EXE
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Mobilen Favoriten erstellen (HKLM)
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O15 - Trusted Zone: http://www.cthulhu-forum.de
O15 - Trusted Zone: http://www.forumfactory4.de
O15 - Trusted Zone: http://cthulhu.rpg-forum.net
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...208.5041782407
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D5BC458-5C68-473F-A9B9-FD4D912D58B8}: NameServer = 62.27.27.62 62.27.53.66
O17 - HKLM\System\CS1\Services\Tcpip\..\{4D5BC458-5C68-473F-A9B9-FD4D912D58B8}: NameServer = 62.27.27.62 62.27.53.66

Besten Dank im voraus, ist eine super Sache das es so ein Forum gibt wo es Hilfe für Computer-Analphabeten wie mich gibt...

Besten Dank
Philip

Sabina · 10.08.2004, 13:55

Fixe mit dem HijackThis:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\cnzum.dll/sp.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\cnzum.dll/sp.html#96676
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\system32\cnzum.dll/index.html#96676
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\cnzum.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://C:\WINDOWS\system32\cnzum.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\cnzum.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\cnzum.dll/sp.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://C:\WINDOWS\system32\cnzum.dll/index.html#96676
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\cnzum.dll/sp.html#96676
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\cnzum.dll/sp.html#96676
O2 - BHO: (no name) - {7A23E735-EC07-BB26-5CF0-DCDEBB6EADC9} - C:\WINDOWS\sdkvf.dll (file missing)
O4 - HKLM\..\Run: [mfcms32.exe] C:\WINDOWS\mfcms32.exe
fixe das nur, wenn du es nicht zuordnen kannst:
O4 - HKLM\..\RunOnce: [ikoph] C:\WINDOWS\DEBUGSM.INI:ikoph

NEUSTARTEN

#Lade mwav.exe und scanne <alle Dateien, Driver...)-CleanScan
http://www.mwti.net/antivirus/free_utilities.asp
#Lade AdAware (free)
http://www.lavasoft.de/support/download/
#mache alle WindowsUpdates (falls keine cdkey vorhanden, alles ausser SP1)
#aktualisiere den IE (keine cdkey notwendig)
http://www.microsoft.com/downloads/d...B-20B602228DE6

#Lade ClearProg
http://www.clearprog.de/
Loesche:
- Cookies
- Verlauf
- Temporäre Internetfiles (Cache)

#Optimiere mit TuneUp (30 Tage free)
http://www.tuneup.de/download/

Dann stelle unter <InternetOptionen< eine Startseite ein

mfg
Sabina

Tip:
Surfe nur mit Firefox ...ist sicherer
http://www.firebird-browser.de/

MountainKing · 10.08.2004, 13:57

Wenn du die swf-Datei im abgesicherten Modus löschts, kannst du dann E-Scan weiterlaufen lassen?

Diese Datei:
C:\WINDOWS\mfcms32.exe

solltest du mal online überprüfen lassen, falls E-Scan weiterhin nicht funktioniert:
http://www.kaspersky.com/de/scanforvirus

Darauf verweist ja auch noch dieser Eintrag:
O4 - HKLM\..\Run: [mfcms32.exe] C:\WINDOWS\mfcms32.exe

Im abges. Modus weiterhin fixen:

alle R0 + R1-Einträge außer:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/

Außerdem fixen:
O2 - BHO: (no name) - {7A23E735-EC07-BB26-5CF0-DCDEBB6EADC9} - C:\WINDOWS\sdkvf.dll (file missing)

Seltsam kommt mir dieser Eintrag vor:

F2 - REG:system.ini: Shell=Explorer.exe

Kannst du mal suchen, ob du mehrere explorer.exe auf deinem System hast und in welchen Ordnen die sich befinden?

Dann wäre da noch:

O4 - HKLM\..\RunOnce: [ikoph] C:\WINDOWS\DEBUGSM.INI:ikoph

Sagt dir dies irgend etwas, ist Ikoph eine Software, die du installiert hast?

Alirion · 10.08.2004, 15:09

Erst mal besten Dank für die schnelle Hilfe...

Den Explorer hab ich 2mal gefunden:

Unter "C:\WINDOWS" und "C:\WINDOWS\ServicePackFiles\i386" jeweils 984kB groß...

die Datei "C:\WINDOWS\mfcms32.exe" ist nicht auffindbar, versteckte Dateien anzeigen hab ich aktiviert.

"Ikoph" sagt mir gar nichts...Windows hat beim Neustart heute morgen gesagt das es die Datei nicht finden kann; ich hab allerdings kein Programm o.ä. das so heißt oder so eine Datei benötigt

Die anderen Einträge fix ich jetzt erst mal im abgesicherten Modus, ich poste dann gleich ein aktuelles Logfile.

Alirion · 10.08.2004, 15:33

So, hier nun das aktuelle Logfile:

Logfile of HijackThis v1.97.7
Scan saved at 16:24:18, on 10.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Nhksrv.exe
C:\Eigene Programme\AntiVir\AVGUARD.EXE
C:\Eigene Programme\AntiVir\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\ircomm2k.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\PROGRA~1\MICROS~4\GAMECO~1\Common\SWTrayV4.exe
C:\WINDOWS\mfcms32.exe
C:\Eigene Programme\AntiVir\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\WINDOWS\System32\irftp.exe
C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Dokumente und Einstellungen\Philip Schmidt-Beer\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/
F2 - REG:system.ini: Shell=Explorer.exe
O2 - BHO: (no name) - {A591E7E3-C3AF-29F7-7571-A41BCA0CB4DB} - C:\WINDOWS\system32\d3un.dll (file missing)
O2 - BHO: (no name) - {AA168207-BE5F-10B0-7FD5-2061FA4F8547} - C:\WINDOWS\system32\winje32.dll (file missing)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [SideWinderTrayV4] C:\PROGRA~1\MICROS~4\GAMECO~1\Common\SWTrayV4.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [mfcms32.exe] C:\WINDOWS\mfcms32.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Eigene Programme\AntiVir\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: D-Info Starter.lnk = C:\Eigene Programme\D-Info\dinfostarter.exe
O4 - Global Startup: DSLMON.lnk = C:\Programme\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check 2.lnk = C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\E_SRCV02.EXE
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Mobilen Favoriten erstellen (HKLM)
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O15 - Trusted Zone: http://www.cthulhu-forum.de
O15 - Trusted Zone: http://www.forumfactory4.de
O15 - Trusted Zone: http://cthulhu.rpg-forum.net
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...208.5041782407
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{4D5BC458-5C68-473F-A9B9-FD4D912D58B8}: NameServer = 62.27.27.62 62.27.53.66
O17 - HKLM\System\CS1\Services\Tcpip\..\{4D5BC458-5C68-473F-A9B9-FD4D912D58B8}: NameServer = 62.27.27.62 62.27.53.66

_______________________________________________________________

Ich hab das Ikoph-Ding direkt mitgefixt, wenns zu irgend nem Programm gehört hat hab ich halt Pech gehabt....
mfcms32 hab ich gefunden, war in C:\Windows\Prefetch...und das sagt Kaspersky:

Zu überprüfende Datei: MFCMS32.EXE-0ED802BE.pf

MFCMS32.EXE-0ED802BE.pf Ok

Statistiken:
Bekannte Viren: 95800 Updated: 10-08-2004
Größe der Datei (Kb): 15 Viren-Korpus: 0
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0

...hört sich ja scheinbar unbedenklich an....

leider kommen immer noch Trojanerwarnugen von AntiVir...

10.08.2004, 20:08

Dies noch fixen:
O2 - BHO: (no name) - {A591E7E3-C3AF-29F7-7571-A41BCA0CB4DB} - C:\WINDOWS\system32\d3un.dll (file missing)
O2 - BHO: (no name) - {AA168207-BE5F-10B0-7FD5-2061FA4F8547} - C:\WINDOWS\system32\winje32.dll (file missing)
F2 - REG:system.ini: Shell=Explorer.exe

C:\WINDOWS\mfcms32.exe schick mal zu partytime-germany.ice@web.de mit Link zu diesem Post.

silkekind · 15.11.2004, 16:45

Hallo!

Meinen Rechner hat es uebel erwischt. Scheinbar hab ich gleich mehrere Trojaner und meine Schutzprogramme (AntiVir und SpyGone) koennen sie nicht loeschen.
Ich hab von einem anderen Forum erfahren, dass HijackThis LogFiles erstellt, aus denen ein Experte die verdaechtigen Dateien herausfiltern kann. Ich will natuerlich nichts Falsches loeschen.

Nun, ist ein Experte online? Hier ist die Liste der Trojaner, die mir gemeldet wurden und im Anschluss die LogFile von HiJackThis:

TR/Spy.Tofger.BI.2
TR/Agent.CD.2

(beide Meldungen von AntiVir jedesmal wenn ich den InternetExplorer oeffne)

LOGFILE:

Logfile of HijackThis v1.98.2
Scan saved at 4:32:16 PM, on 15/11/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Program Files\AVPersonal\AVWUPSRV.EXE
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\HP\hpcoretech\hpcmpmgr.exe
C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe
C:\Program Files\AVPersonal\AVGNT.EXE
C:\Program Files\Messenger\msmsgs.exe
C:\spywarebegone\SpywareBeGone.exe
C:\Program Files\WEB.DE\WEB.DE Screensaver\TraySvr.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Silke\Local Settings\Temp\Temporary Directory 1 for hijackthis.zip\HijackThis.exe
C:\Program Files\Hijack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ewpop.dll/sp.html#11111
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ewpop.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ewpop.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ewpop.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ewpop.dll/sp.html#11111
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ewpop.dll/sp.html#11111
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ewpop.dll/sp.html#11111
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.internetcologne.de/
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2AA8F24D-67B6-E367-30B6-4DF7C53BBF90} - C:\WINDOWS\system32\wintr.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Cpqset] C:\Program Files\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [CamMonitor] C:\Program Files\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [MMTray] C:\Program Files\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Program Files\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Program Files\Common Files\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program Files\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [AVGCtrl] "C:\Program Files\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Spyware Begone] C:\spywarebegone\SpywareBeGone.exe -FastScan
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WEB.DE Screensaver Quick-Start.lnk = ?
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O14 - IERESET.INF: START_PAGE_URL=http://qau8l.hpwis.com
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.scoobidoo.com
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\AutoCAD 2002 Deu\InstFred.ocx
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1123.cab
O16 - DPF: {6F750200-1362-4815-A476-88533DE61D0C} (Ofoto Upload Manager Class) - http://www.ofoto.eu.com/downloads/BU...1/axofupld.cab
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD 2002 Deu\InstBanr.ocx
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.download-url.de/StarInstall.ocx
O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (AcPreview-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcPreview.ocx
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Program Files\HP\hpcoretech\comp\hpuiprot.dll

15.11.2004, 18:40

Lösche diese Dateien im abg. Modus:
C:\WINDOWS\ewpop.dll
C:\WINDOWS\system32\wintr.dll

Fixe dies:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ewpop.dll/sp.html#11111
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ewpop.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\ewpop.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\ewpop.dll/sp.html#11111
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\ewpop.dll/sp.html#11111
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ewpop.dll/sp.html#11111
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\ewpop.dll/sp.html#11111
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {2AA8F24D-67B6-E367-30B6-4DF7C53BBF90} - C:\WINDOWS\system32\wintr.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.scoobidoo.com
O16 - DPF: {1F831FA3-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Programme\AutoCAD 2002 Deu\InstFred.ocx
O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://img.web.de/v/mail/activex/mail_upload_1123.cab
O16 - DPF: {6F750200-1362-4815-A476-88533DE61D0C} (Ofoto Upload Manager Class) - http://www.ofoto.eu.com/downloads/B..._1/axofupld.cab
O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (AcDcToday-Steuerung) - file://C:\Programme\AutoCAD 2002 Deu\AcDcToday.ocx
O16 - DPF: {AE563724-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Programme\AutoCAD 2002 Deu\InstBanr.ocx
O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://install.download-url.de/StarInstall.ocx

SP2 installieren!

HILFE! Trojaner, Abstürze und mehr...

Log-Analyse und Auswertung: HILFE! Trojaner, Abstürze und mehr...