Maleware wird unverschämt...

Groundrocker · 17.01.2009, 19:47

Hallo zusammen.
Mein Freundin habt sich irgendwie Maleware eingefangen und ich hab selbst mit Antimaleware nichts wegbekommen.
Derzeit hat die M-Ware schon den Desktop geändert und spamt alle möglichen Webseiten (auch die wo man weiss das sie keine Werbung haben) mit Werbeblöcken zu...

HiJackthis-Log habe ich hier....
Vielen Dank im Vorraus...

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:43:08, on 17.01.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\MioNet\MioNetManager.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\MioNet\jvm\bin\MioNet.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\Programme\Hotkey 1.0.4\FuncKey.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\S3trayp.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\VM_STI.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Adobe Photoshop Lightroom\apdproxy.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\frmwrk32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\DrvMon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Philips\Philips SPC315NC Webcam\TrayMin315.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\ntdll64.exe
C:\Programme\Java\jre1.6.0_07\bin\jucheck.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com/?o=13166&l=dis
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: TBSB03968 - {AA61DE26-FA67-4575-9033-918671094293} - C:\Dokumente und Einstellungen\Tanja\Anwendungsdaten\Toolbars\Toolbar fuer eBay\ebay.dll
O3 - Toolbar: Toolbar fuer eBay - {000E148C-F7A7-445A-9044-93BF6CE09ECB} - C:\Dokumente und Einstellungen\Tanja\Anwendungsdaten\Toolbars\Toolbar fuer eBay\ebay.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [FuncKey] "C:\Programme\Hotkey 1.0.4\FuncKey.exe"
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Philips SPC315NC Webcam
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Adobe Photoshop Lightroom\apdproxy.exe"
O4 - HKLM\..\Run: [Fsunoxosivol] rundll32.exe "C:\WINDOWS\Fputoxiyalogu.dll",e
O4 - HKLM\..\Run: [Framework Windows] frmwrk32.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DrvMon.exe] C:\WINDOWS\system32\DrvMon.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - Global Startup: TrayMin315.exe.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Avgnpr - Unknown owner - (no file)
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: MioNet Service (MioNet) - Unknown owner - C:\Programme\MioNet\MioNetManager.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe

--
End of file - 6824 bytes

Groundrocker · 18.01.2009, 00:04

Habe vergessen zu erwähnen:

Betriebsystem ist Windows XP

Mr.Vain · 18.01.2009, 00:10

Dein OS kann man aus dem Log entnehmen

Bitte lade folgendes bei VirusTotal - Free Online Virus and Malware Scan
hoch

Code:

ATTFilter

C:\WINDOWS\system32\ntdll64.exe
C:\WINDOWS\system32\frmwrk32.exe

2. --> Bitte alle Toolbars unter --> Systemsteuerung --> Programme deinstallieren!

3. --> Deinstalliere Ad-Aware und ersetze es durch Malwarebytes Anti-Malware.

4. --> Führe damit einen Scan durch und Poste das Ergebniss !

5. --> Führe einen Scan mit Avira Antivir durch!

Groundrocker · 18.01.2009, 00:28

Danke für die Antwort...Ich denke C:\WINDOWS\system32\ntdll64.exe ist der Übeltäter...

Post von VirusTotal für ntdll64.exe:

Code:

ATTFilter

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
a-squared	4.0.0.73	2009.01.17	-
AhnLab-V3	2009.1.15.0	2009.01.17	-
AntiVir	7.9.0.57	2009.01.17	-
Authentium	5.1.0.4	2009.01.17	-
Avast	4.8.1281.0	2009.01.16	-
AVG	8.0.0.229	2009.01.17	Downloader.Generic8.PTP
BitDefender	7.2	2009.01.17	-
CAT-QuickHeal	10.00	2009.01.17	(Suspicious) - DNAScan
ClamAV	0.94.1	2009.01.17	-
Comodo	934	2009.01.17	-
DrWeb	4.44.0.09170	2009.01.17	-
eSafe	7.0.17.0	2009.01.15	Suspicious File
eTrust-Vet	31.6.6312	2009.01.17	-
F-Prot	4.4.4.56	2009.01.17	-
F-Secure	8.0.14470.0	2009.01.17	-
Fortinet	3.117.0.0	2009.01.15	-
GData	19	2009.01.17	-
Ikarus	T3.1.1.45.0	2009.01.17	-
K7AntiVirus	7.10.594	2009.01.17	-
Kaspersky	7.0.0.125	2009.01.17	-
McAfee	5498	2009.01.17	Downloader-ASH.gen.b
McAfee+Artemis	5498	2009.01.17	Downloader-ASH.gen.b
Microsoft	1.4205	2009.01.17	Trojan:Win32/Tibs.IS
NOD32	3774	2009.01.17	a variant of Win32/FakeInit
Norman	5.93.01	2009.01.16	-
nProtect	2009.1.8.0	2009.01.16	-
Panda	9.5.1.2	2009.01.17	-
PCTools	4.4.2.0	2009.01.17	-
Prevx1	V2	2009.01.18	Malicious Software
Rising	21.12.52.00	2009.01.17	-
SecureWeb-Gateway	6.7.6	2009.01.17	Trojan.Crypt.LooksLike.XPACK
Sophos	4.37.0	2009.01.17	Mal/EncPk-FO
Sunbelt	3.2.1835.2	2009.01.16	-
Symantec	10	2009.01.18	-
TheHacker	6.3.1.5.222	2009.01.17	-
TrendMicro	8.700.0.1004	2009.01.16	-
VBA32	3.12.8.10	2009.01.17	-
ViRobot	2009.1.17.1563	2009.01.17	-
VirusBuster	4.5.11.0	2009.01.17	-

Post für C:\WINDOWS\system32\frmwrk32.exe:

Code:

ATTFilter

Antivirus 	Version 	letzte aktualisierung 	Ergebnis
a-squared 	- 	- 	-
AhnLab-V3 	- 	- 	-
AntiVir 	- 	- 	-
Authentium 	- 	- 	-
Avast 	- 	- 	-
AVG 	- 	- 	SHeur2.LKF
BitDefender 	- 	- 	-
CAT-QuickHeal 	- 	- 	-
ClamAV 	- 	- 	-
Comodo 	- 	- 	-
DrWeb 	- 	- 	Trojan.Fakealert.3874
eSafe 	- 	- 	Suspicious File
eTrust-Vet 	- 	- 	-
F-Prot 	- 	- 	-
Fortinet 	- 	- 	-
GData 	- 	- 	-
Ikarus 	- 	- 	-
K7AntiVirus 	- 	- 	-
Kaspersky 	- 	- 	-
McAfee 	- 	- 	-
McAfee+Artemis 	- 	- 	Generic!Artemis
NOD32 	- 	- 	-
nProtect 	- 	- 	-
Panda 	- 	- 	-
PCTools 	- 	- 	-
Rising 	- 	- 	-
SecureWeb-Gateway 	- 	- 	Trojan.FakeVir.LSK
Sophos 	- 	- 	Troj/Fakevir-JL
Sunbelt 	- 	- 	-
Symantec 	- 	- 	-
TheHacker 	- 	- 	-
TrendMicro 	- 	- 	-
ViRobot 	- 	- 	-
VirusBuster 	- 	- 	-

Folgendes Problem habe ich mit den weiteren Schritten:
Ich kann keine Software deinstallieren, da ich jedesmal eine Errormeldung bekomme... Ich habe ein paar komische Toolbars entdeckt die ich gerne wegmachen würde, die mir jedoch nach dem Klick auf "Deinstallieren" ne Late von Error-Popups bringt.. ca. 20 Stück... das gleiche passiert wenn ich üner Start -> Programme -> Das gewünschte Program und dann Deinstall oder Uninstall wähle...

Mr.Vain · 18.01.2009, 00:43

Gut.
Fixe bitte noch die Dateien die du eben bei virustotal hochgeladen hast.

Lade dir Revo Uninstaller herunter.
Damit kriegst du jede Software wieder deinstalliert

Wie sieht es mit den Logs von Avira Antivir und Malwarebytes aus?

Groundrocker · 18.01.2009, 22:34

Danke für die ANtwort..
So leider habe ich jetzt einige weitere Probleme.

Anti-Maleware geht jetzt nicht mehr und lässt sich nicht mehr updaten oder installieren, da jedesmal durch ein Errorfenster abgebrochen wird.
AntiVir findet zwar die erste der oben besagten Dateinen sofort nach begin des Suchlauft, wird aber jedoch unter "Keine Rückmeldung" zum Abrechen gezwungen.
Ich weiss, mag eine lächerliche Frage sein, aber mit was soll ich die beiden Files fixen? Kenn mich da nicht all zu arg aus.... Sorry

Danke schonmal im vorraus und Gruße ans Board

undoreal · 19.01.2009, 13:39

Hallo Groundrocker.

Systemanalyse

Deaktiviere die Systemwiederherstellung auf allen Laufwerken. Nachdem die Bereinigung KOMPLETT beendet ist kann sie wieder aktiviert werden.
Räume mit cCleaner auf. (Punkt 1 & 2)
Deaktiviere den Wächter/On-Access-Modul (Echtzeit-Scanner) deines AntiViren Programmes und schließe alle AntiViren Programme komplett!
Downloade AVZ und speichere es in einen eigenen Ordner auf dem Desktop.
Entpacke es in diesem Ordner und starte die Anwendung durch einen Doppelklick auf die AVZ.exe.
Unter AVZPM -> Install extended monitoring driver wählen. Der Treiber wird installiert.
Starte den Rechner neu. Öffne abermals die AVZ.exe und gehe sicher, dass der AVZPM Driver installiert ist.
Alle AntiViren Programme und Wächter sollten weiterhin deaktiviert sein!
Unter AVZGuard -> Enable AVZGuard wählen. => Der Wächter verhindert die Ausführung aller anderen Anwendungen und muss nach der Analyse unbedingt wieder deaktviert werden!!
Unter File -> Database Update Start drücken.
Während des Scans sollte der Rechner weiterhin Verbindung mit dem Internet haben.
Im Hauptfenster den Start Button drücken.
Danach unter File -> System Analys, die Option Attach System Analysis log to ZIP anhaken und Start drücken. Wähle als Speicherort den von dir erstellten AVZ-Ordner.
Deaktiviere den AVZGuard!
Nachdem der Scan beendet ist lade die avz_sysinfo.zip bei Rapidshare hoch und poste den Download-Link.

Groundrocker · 30.01.2009, 15:23

Sorry, das ich mich erst jetzt melde, war beruflich verhindert, bzw nicht im Lande...

Da Problem wurde leider immer schlimemr und ich konnte letztenendes nur noch eine Neuinstallation durchführen... Somit hat sich das Problem erledigt...

Danke trotzdem für eure Bemühungen...
:aplaus::aplaus::aplaus::aplaus::aplaus::aplaus::aplaus::aplaus:

*** Das Thema kann somit geschlossen werden ***

Maleware wird unverschämt...

Log-Analyse und Auswertung: Maleware wird unverschämt...