Hallo zusammen,
ich bin neu hier im Forum, da ich ein Problem habe, dass ihr wahrscheinlich nicht mehr hören könnt.

Ich habe(hatte?) diesen sehr bekannten Virus, bei dem unten rechts(da wo die im Hintergrund laufenden Programme angezeigt werden), ein roter Kreis mit einem weißem Kreuz angezeigt wird.

Als erstes habe ich mich nicht sehr drum bemüht und einfach mal nen Systemcheck mit AntiVir gemacht. Das hat dann auch ein paar Viren gefunden, aber der rote Kreis war nicht weg.

Dann habe ich gedacht nimm doch mal "smitfraudfix". Erst nen Check gemacht, dann im abgesicherten Modus "gecleant", der hat wohl auch nen bischen was gemacht... Rebootet und der rote Kreis war weg. Auch der schwarze Bildschirm mit dem text "Warning you have many viruses on your computer, check with a special software[den Rest weiß ich nicht mehr]) war weg, stattdessen(normal nach smitfraudfix) ein blauer Hintergrund.

Ich kann seit ich den Virus habe(hatte?) mein Hintergrundbild nicht mehr ändern. Hatte gehofft das ginge jetzt wieder, aber nein es geht noch nicht.
Daraus schließe ich das noch iwas auf meinem Rechner ist.

HijackThis Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:58:52, on 02.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Comodo\Firewall\cmdagent.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\MPM\MpmSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\NMSAccessU.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Spyware Terminator\sp_rsser.exe
C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\VMware\VMware Player\vmware-authd.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\QTTask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\VirtualCloneDrive\VCDDaemon.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\phonostar\ps_timer.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\DNA\btdna.exe
C:\Programme\Windows Media Player\WMPNSCFG.exe
C:\Programme\UK´sKalender\Kalender.exe
C:\dokumente und einstellungen\christoph\lokale einstellungen\anwendungsdaten\isyea.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox 3\firefox.exe
C:\Programme\Trend Micro\hjt202.exe\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - (no file)
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQToolbar\toolbaru.dll
R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
R3 - URLSearchHook: Power Challenge Toolbar - {208722fa-38e0-4142-83e5-a341b43a35dd} - C:\Programme\Power_Challenge\tbPowe.dll (file missing)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Power Challenge Toolbar - {208722fa-38e0-4142-83e5-a341b43a35dd} - C:\Programme\Power_Challenge\tbPowe.dll (file missing)
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQToolbar\toolbaru.dll
O3 - Toolbar: (no name) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - (no file)
O3 - Toolbar: (no name) - {6B56C8CA-C94E-4DBA-BF1B-6C07AFCC644E} - (no file)
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh\Plugins\reg\VeohToolbar.dll
O3 - Toolbar: Power Challenge Toolbar - {208722fa-38e0-4142-83e5-a341b43a35dd} - C:\Programme\Power_Challenge\tbPowe.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing)
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [System Files Updater] C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe /S
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\VirtualCloneDrive\VCDDaemon.exe" /s
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Ksicozuxecuguvek] rundll32.exe "C:\WINDOWS\Qziwi.dll",e
O4 - HKLM\..\RunOnce: [NSSInstallation] C:\WINDOWS\system32\Adobe\Shockwave 11\nssstub.exe /RunOnce
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe
O4 - HKCU\..\Run: [DW6] "C:\Programme\The Weather Channel FW\Desktop\DesktopWeather.exe"
O4 - HKCU\..\Run: [EA Core] C:\Programme\Electronic Arts\EADM\Core.exe -silent
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"
O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh\VeohClient.exe" /VeohHide
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [Kalender] C:\Programme\UK´sKalender\Kalender.exe
O4 - HKCU\..\Run: [isyea] "c:\dokumente und einstellungen\christoph\lokale einstellungen\anwendungsdaten\isyea.exe" isyea
O4 - HKCU\..\Run: [Windows Client] %PROGRAMFILES%\client.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: AutorunsDisabled
O4 - Global Startup: AutorunsDisabled
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://de8.hpwis.com
O18 - Protocol: AutorunsDisabled - (no CLSID) - (no file)
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\Skype4COM.dll
O20 - AppInit_DLLs: hplun.dll 
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Boonty Games - Unknown owner - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe (file missing)
O23 - Service: BroadWave Service (BroadWaveService) - Unknown owner - C:\Programme\NCH Swift Sound\BroadWave\broadwave.exe (file missing)
O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programme\Comodo\Firewall\cmdagent.exe
O23 - Service: Google Update Service (gupdate1c91116dfa3df82) (gupdate1c91116dfa3df82) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: MPM MultiPlugMate Service (MpmSvc) - K. Hofacker, Hamburg, Germany, www.gslantern.com - C:\Programme\MPM\MpmSvc.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\Gemeinsame Dateien\NMSAccessU.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe

--
End of file - 11993 bytes
         

Ich hoffe ihr könnt mir helfen, danke!

Achja, ich habe die im Inet vorgegebenen Schritte noch nicht in der Reihenfolge durchgeführt, weil ich es mich nicht getraut habe ohne Zustimmung von Experten. Ausserdem habe ich die beiden Schritte die ich gemacht habe eigenständig durhcgeführt ohne schon anch dem Virus gesucht zu haben, dass habe ich erst nachher gemacht.

Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

• Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

• Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code: Alles auswählenAufklappen

ATTFilter

C:\dokumente und einstellungen\christoph\lokale einstellungen\anwendungsdaten\isyea.exe
C:\WINDOWS\Qziwi.dll
         

• Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

• Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

• Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Ksicozuxecuguvek]
 
Files to delete:
C:\dokumente und einstellungen\christoph\lokale einstellungen\anwendungsdaten\isyea.exe
C:\WINDOWS\Qziwi.dll
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.


Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code: Alles auswählenAufklappen

ATTFilter

O4 - HKCU\..\Run: [isyea] "c:\dokumente und einstellungen\christoph\lokale einstellungen\anwendungsdaten\isyea.exe" isyea
         

Lass anschließend MAM laufen und poste ein neues HJ-Log;
Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.

Chris

Dankeschön erstmal
Gehe jetzt alle Punkte durch

Virustotal:
"C:\dokumente und einstellungen\christoph\lokale einstellungen\anwendungsdaten\isyea.exe"

Code: Alles auswählenAufklappen

ATTFilter

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
a-squared	4.0.0.93	2009.02.02	-
AhnLab-V3	5.0.0.2	2009.02.02	-
AntiVir	7.9.0.70	2009.02.02	-
Authentium	5.1.0.4	2009.02.01	-
Avast	4.8.1281.0	2009.02.01	-
AVG	8.0.0.229	2009.02.01	-
BitDefender	7.2	2009.02.02	-
CAT-QuickHeal	10.00	2009.02.02	-
ClamAV	0.94.1	2009.02.02	-
Comodo	957	2009.02.01	-
DrWeb	4.44.0.09170	2009.02.02	-
eSafe	7.0.17.0	2009.02.01	-
eTrust-Vet	31.6.6335	2009.01.29	-
F-Prot	4.4.4.56	2009.02.01	-
F-Secure	8.0.14470.0	2009.02.02	-
Fortinet	3.117.0.0	2009.02.02	-
GData	19	2009.02.02	-
Ikarus	T3.1.1.45.0	2009.02.02	-
K7AntiVirus	7.10.613	2009.02.02	-
Kaspersky	7.0.0.125	2009.02.02	-
McAfee	5513	2009.02.01	-
McAfee+Artemis	5513	2009.02.01	-
Microsoft	1.4306	2009.02.02	-
NOD32	3817	2009.02.02	-
Norman	6.00.02	2009.01.31	-
nProtect	2009.1.8.0	2009.02.02	-
Panda	9.5.1.2	2009.02.02	-
PCTools	4.4.2.0	2009.02.01	-
Prevx1	V2	2009.02.02	Fraudulent Security Program
Rising	21.14.61.00	2009.02.01	-
SecureWeb-Gateway	6.7.6	2009.02.02	-
Sophos	4.38.0	2009.02.02	-
Sunbelt	3.2.1835.2	2009.01.16	-
Symantec	10	2009.02.02	-
TheHacker	6.3.1.5.243	2009.02.02	-
TrendMicro	8.700.0.1004	2009.02.02	-
VBA32	3.12.8.12	2009.02.01	-
ViRobot	2009.2.2.1585	2009.02.02	-
VirusBuster	4.5.11.0	2009.02.01	-
weitere Informationen
File size: 225792 bytes
MD5...: d09dc3e70431300492e3242bbc32e723
SHA1..: e52cc6afe845e4c92e700b031cd78b2f16c4348c
SHA256: 844c0458b961297d467a0cc92fff25c742a881121d3201db0880c1615ab277f6
SHA512: 520eee9552468158737a3d027f528896604db94c8262cc72d63f4e157f64923f
a8995040993210ad081f14ffe7cef5812ee99c2be385ae5b54e47dbbbff18a12
ssdeep: 6144:PIjKcrg+1zLaJ3UcsVQ03TdQpO3eyKXCTM:sKcjtBc2QkQU
PEiD..: Armadillo v1.71
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x30f22
timedatestamp.....: 0x46ae1cbb (Mon Jul 30 17:15:39 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x300bc 0x30200 7.39 f725f894edd0f3cd0e4829f6b36df797
.rdata 0x32000 0x10e4 0x1200 5.31 afc4994bbc249001be92aef4cd214d22
.data 0x34000 0x587c 0x5a00 5.56 0cc22b6eda8fa56362aaa695f7d45d63

( 10 imports )
> KERNEL32.dll: GetLogicalDriveStringsA, SetConsoleActiveScreenBuffer, MoveFileExA, VirtualLock, EnumResourceNamesA, SetThreadLocale, GetCommModemStatus, CreateMutexA, GetCommandLineW, EnumResourceNamesW, GetConsoleCursorInfo, GetModuleHandleA, _llseek, GetSystemTime, SetConsoleOutputCP, SetConsoleWindowInfo, InitializeCriticalSection, GetEnvironmentVariableW, LCMapStringA, WritePrivateProfileSectionW, WritePrivateProfileStringW, QueryDosDeviceA, WritePrivateProfileSectionA, GetUserDefaultLangID, GetCompressedFileSizeW, IsBadStringPtrA, GetSystemTimeAsFileTime, GetVolumeInformationW, FindFirstFileExW, GetBinaryTypeA, VirtualAlloc, GetStartupInfoA
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -
> USER32.dll: GetCaretPos, DefWindowProcW, MonitorFromPoint, GetWindowRect, AppendMenuA, GetClipboardData, GetDialogBaseUnits, CreateMDIWindowW, EnumDisplayMonitors, AttachThreadInput, RegisterWindowMessageW, SetDlgItemTextA
> ole32.dll: CreateOleAdviseHolder, OleSetClipboard, OleCreateFromData
> GDI32.dll: CloseMetaFile, SetMetaFileBitsEx, GdiComment, OffsetRgn, EnumFontsA, PathToRegion, BitBlt, FillPath, EnumFontFamiliesA
> SHELL32.dll: SHGetPathFromIDListA, SHChangeNotify, Shell_NotifyIconA
> WS2_32.dll: -, -, WSAEnumNameSpaceProvidersA, WSALookupServiceBeginA, -, -, -, WSAGetServiceClassInfoW, WSAEnumProtocolsW, -, -, -, -
> VERSION.dll: VerQueryValueA, GetFileVersionInfoA, VerInstallFileA
> ADVAPI32.dll: RegSetValueA, SetKernelObjectSecurity, QueryServiceLockStatusW, OpenSCManagerW, RegCreateKeyExA, StartServiceA, RegEnumKeyExW, CloseEventLog, GetSecurityDescriptorGroup, GetAce, GetSidIdentifierAuthority, EnumDependentServicesA, RegSetValueExW, SetEntriesInAclA, EnumServicesStatusW, CryptDeriveKey, RegQueryValueExW, AddAccessAllowedAce, CreateServiceA, RegRestoreKeyW, GetAclInformation, RegisterEventSourceW, EnumServicesStatusA, GetFileSecurityA, OpenServiceW, SetTokenInformation, AccessCheck, SetFileSecurityW, GetUserNameW, CryptImportKey, OpenServiceA, RegConnectRegistryW, FreeSid, RegEnumValueA, CryptSignHashW, CreatePrivateObjectSecurity, RegisterEventSourceA, RegNotifyChangeKeyValue, ClearEventLogW, QueryServiceStatus, GetSecurityDescriptorSacl, GetSidSubAuthority
> MSVCRT.dll: _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, _XcptFilter, _exit, remove, _itoa, _wfsopen, strcspn, _mbslwr, exit, _filelength, _sopen, _getdrive, _mbstrlen, _controlfp, _strncoll, isspace, iswxdigit, wcstok, puts, _wopen, _setmode, fflush, isxdigit, strrchr, _vsnwprintf, _ecvt

( 0 exports )
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=C969948A00268D5E729E03F45F85BD0082107C21' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=C969948A00268D5E729E03F45F85BD0082107C21</a>
         

"C:\WINDOWS\Qziwi.dll"

Code: Alles auswählenAufklappen

ATTFilter

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
a-squared	4.0.0.93	2009.02.02	Trojan.Win32.Hiloti!IK
AhnLab-V3	5.0.0.2	2009.02.02	-
AntiVir	7.9.0.70	2009.02.02	-
Authentium	5.1.0.4	2009.02.01	-
Avast	4.8.1281.0	2009.02.01	-
AVG	8.0.0.229	2009.02.01	-
BitDefender	7.2	2009.02.02	-
CAT-QuickHeal	10.00	2009.02.02	-
ClamAV	0.94.1	2009.02.02	-
Comodo	959	2009.02.02	-
DrWeb	4.44.0.09170	2009.02.02	-
eSafe	7.0.17.0	2009.02.01	-
eTrust-Vet	31.6.6335	2009.01.29	-
F-Prot	4.4.4.56	2009.02.01	W32/Hiloti.A.gen!Eldorado
F-Secure	8.0.14470.0	2009.02.02	-
Fortinet	3.117.0.0	2009.02.02	-
GData	19	2009.02.02	-
Ikarus	T3.1.1.45.0	2009.02.02	Trojan.Win32.Hiloti
K7AntiVirus	7.10.613	2009.02.02	-
Kaspersky	7.0.0.125	2009.02.02	-
McAfee	5513	2009.02.01	-
McAfee+Artemis	5513	2009.02.01	-
Microsoft	1.4306	2009.02.02	-
NOD32	3817	2009.02.02	-
Norman	6.00.02	2009.01.31	-
nProtect	2009.1.8.0	2009.02.02	-
Panda	9.5.1.2	2009.02.02	-
PCTools	4.4.2.0	2009.02.01	-
Prevx1	V2	2009.02.02	Cloaked Malware
Rising	21.14.61.00	2009.02.01	-
SecureWeb-Gateway	6.7.6	2009.02.02	-
Sophos	4.38.0	2009.02.02	Troj/Virtum-Gen
Sunbelt	3.2.1835.2	2009.01.16	-
Symantec	10	2009.02.02	-
TheHacker	6.3.1.5.243	2009.02.02	-
TrendMicro	8.700.0.1004	2009.02.02	-
VBA32	3.12.8.12	2009.02.01	-
ViRobot	2009.2.2.1585	2009.02.02	-
VirusBuster	4.5.11.0	2009.02.01	-
weitere Informationen
File size: 40448 bytes
MD5...: 65674d9c9bb13da3977a17fa5b58bb26
SHA1..: be1d700bd5b1035bb72e83064adc10dee205b5ca
SHA256: f53ee00d8da74ab2b52dea16ef4c9d8d87f71aabf4689c01f15c10c0668ba84e
SHA512: fa59974fd5c46221fb227e82a1876eb4937d94ad76920497bcdea0c29135cec2
5a0cc466a71827e172897f2df43f1c1228c86b4ecd5a39976bd7e80533e1426d
ssdeep: 768:pH+3c/BPkTqZx+FQARtTEQtrzC9VY8OZpH7S3B1HHB9momD+y34oPwxAh1PZ
D5ms:pH0c/BPk2T+Fh5PIY8kpH7S3HHB9DewK
PEiD..: -
TrID..: File type identification
Win32 Dynamic Link Library (generic) (65.4%)
Generic Win/DOS Executable (17.2%)
DOS Executable Generic (17.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x6234
timedatestamp.....: 0x489b040c (Thu Aug 07 14:17:48 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x7000 0x6c00 7.60 7475c1bb2b42a14f5e576964be55f744
.data 0x8000 0x2000 0x1a00 6.21 0f37d6e45c7ae2443562eb178f24bbb3
.rsrc 0xa000 0x1000 0x600 2.64 c5e7f3e2e0e5e738bb62b19167ce498c
.reloc 0xb000 0x1000 0x200 2.10 24a275d6446b5cf972e55d8f2f0b328e

( 5 imports )
> KERNEL32.dll: DeleteFileA, FindClose, GetDriveTypeA, GetEnvironmentStringsW, GetFileType, HeapAlloc, HeapCreate, SetHandleCount, WaitForSingleObject
> msvcrt.dll: setlocale, _wcsicmp, exit, time, _exit, realloc
> user32.dll: ExitWindowsEx, wsprintfA, TrackPopupMenu
> OLEAUT32.dll: -, -, -, -, -, -, -, -
> SHLWAPI.dll: PathAppendA, PathCombineA, PathFindOnPathA, SHQueryInfoKeyA, StrChrA, StrStrA, StrStrIA, SHOpenRegStreamA

( 0 exports )
Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=C41B05B3003B756C9E9F003A5FB8BF00CFB0C587' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=C41B05B3003B756C9E9F003A5FB8BF00CFB0C587</a>
         

Avenger macht Probleme.
Ich habe alle Programme beendet und Avenger gestartet deinen Code eingefügt(in die weiße Box)

Code: Alles auswählenAufklappen

ATTFilter

HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Ksicozuxecuguvek]
 
Files to delete:
C:\dokumente und einstellungen\christoph\lokale einstellungen\anwendungsdaten\isyea.exe
C:\WINDOWS\Qziwi.dll
         

Und er sagt nacht dem Bestätigen:"Error:Invalid script. A valid scriptmust begin with a command directive. Aborting execution!"

Code: Alles auswählenAufklappen

ATTFilter

HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Ksicozuxecuguvek]
         

Ich verstehe nicht wofür dieser Part verantwortlich ist.

Hi,

(mein) Kopierfehler, die Zeile soll den Starteintrag entfernen, es fehlt die Direktive vorneweg:

Code: Alles auswählenAufklappen

ATTFilter

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Ksicozuxecuguvek
         

chris

Ok, diesmal hat Avenger nicht rumgezickt, aber der Log sagt mir(Anfänger) das daraus nichts geworden ist. Habe jetzt das eingegeben

Code: Alles auswählenAufklappen

ATTFilter

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Ksicozuxecuguvek

Files to delete:
C:\dokumente und einstellungen\christoph\lokale einstellungen\anwendungsdaten\isyea.exe
C:\WINDOWS\Qziwi.dll
         

Der Log war dann das hier:

Code: Alles auswählenAufklappen

ATTFilter

//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Feb 02 11:13:59 2009

11:13:59: Error: Invalid script.  A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Feb 02 11:15:40 2009

11:15:40: Error: Invalid script.  A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


//////////////////////////////////////////
  Avenger Pre-Processor log
//////////////////////////////////////////

Platform: Windows XP (build 2600, Service Pack 3)
Mon Feb 02 11:20:57 2009

11:20:57: Error: Invalid script.  A valid script must begin with a command directive.
Aborting execution!


//////////////////////////////////////////


Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Error:  Script file not found!
Could not open script file!  Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

Abort!
         

Warum hat er abgebrochen?
Das Hijack fixen lasse ich erstmal und warte auf ne Antwort

Danke für die schnelle Hilfe.

Hi,

dann nehmen wir die bei Hackern weniger bekannt Killbox:

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html
oder
http://www.wintotal.de/Software/index.php?id=4101

Options: Delete on Reboot --> anhaken
reinkopieren:

Code: Alles auswählenAufklappen

ATTFilter

C:\dokumente und einstellungen\christoph\lokale einstellungen\anwendungsdaten\isyea.exe
C:\WINDOWS\Qziwi.dll
         

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

PC neustarten

chris

Dankeschön
Ich werde das mal ausprobieren.

Dankeschön
Direkt nach dem Reboot gab es die Fehlermeldung RUNDLL:Fehler beim Laden von C:\Windows\Qizwi.dll
Das angegebene Modul wurde nicht gefunden.
Isyea.exe ist auch nicht mehr da.
Aber noch Dateien wie:isyea.dat, isyea_nav.dat, isyea_navps.dat

Und das blödeste ist, die Probleme sind nocht weg.
Soll ich nochmal nen HijackLog psten?

Danker erstmal für die Hilfe.

Hi,

poste ein neues HJ-Log, die Starteinträge müssen noch gefixt werden.

-und-

Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.

chris

Heisst das ich soll bei HJT schon iwas fixen, oder erstmal nur den Log posten?
Das mit Malewarebytes mache ich

Hi,

lass MAM laufen und poste dann ein neues HJ-Log.
Danach entfernen wir ggf. die Starteinträge...

chris

Dankeschön, mache ich. Bist echt nen guter und netter Helfer
Solche Leute habe ich in Foren noch nicht häufig gesehen.

Ok, fange jetzt an, hatte in letzter Zeit leider keine Zeit...

Also hier der Log MAM

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1736
Windows 5.1.2600 Service Pack 3

08.02.2009 12:07:04
mbam-log-2009-02-08 (12-07-04).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 288980
Laufzeit: 2 hour(s), 49 minute(s), 57 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 6
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 4
Infizierte Dateien: 22

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{ba8197c1-bb27-4bdb-af79-2fc3cadc0a90} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\internetgamebox (Adware.EGDAccess) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\gxvpsafm.bxkn (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\gxvpsafm.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ksicozuxecuguvek (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\host-domain-lookup.com (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\mysearchnow.com (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\www.host-domain-lookup.com (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\www.mysearchnow.com (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\activedesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\InternetGameBox (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\InternetGameBox\ressources (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\InternetGameBox\ressources\favoris (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\InternetGameBox\skins (Adware.EGDAccess) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\pntqkflv.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Programme\InternetGameBox\InternetGameBox.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\InternetGameBox\language (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\InternetGameBox\uninst.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\InternetGameBox\ressources\AttenteOff.html (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\InternetGameBox\ressources\AttenteOn.html (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\InternetGameBox\ressources\configv2_en.xml (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\InternetGameBox\ressources\configv2_es.xml (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\InternetGameBox\ressources\configv2_fr.xml (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\InternetGameBox\ressources\favoris\defaultv2.swf (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\InternetGameBox\skins\skinv2.skn (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\warning.gif (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ahtn.htm (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\nvs2.inf (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Unbekannt\Desktop\Free PC Wallpapers.lnk (Rogue.Link) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Unbekannt\Desktop\Repair Your Registry.lnk (Rogue.Link) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\senekabbfuuorq.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\senekaemnrpois.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\senekamfjbitho.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\senekaxrppdtwo.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\senekakqberlen.sys (Trojan.Agent) -> Delete on reboot.
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> Quarantined and deleted successfully.
         

War da viel Müll aufm Rechner O_O.
Diese Fehlermeldung gab es noch :

Gleich kommt auch noch der HJT Log, nach dem Neustart.