lsp.dll gelöscht, aber Trojaner noch da...

arnesail · 01.09.2009, 22:32

Hallo,
die lsp.dll habe ich mit lspfix gelöscht, doch immer noch werde ich im Internet umgeleitet und Programme lassen sich nicht installieren.
Kann jemand bitte helfen, was ich noch tun kann ?
Danke !

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:20:53, on 01.09.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.trendmicro.com/go/hjt/win9x//?hjtver=2.0.2&winver=Windows%20NT%205.01.2600&iever=7.0.5730.11
O1 - Hosts: ::1 localhost
O1 - Hosts: 91.212.127.221 virusermoverpro.microsoft.com
O1 - Hosts: 91.212.127.221 virusermoverpro.com
O1 - Hosts: 91.212.127.221 www.virusermoverpro.com
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BHO - {12BC3DAB-D768-4f05-88A5-FCC9099F5A0F} - C:\WINDOWS\system32\iehelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.5000.1021\de\msntb.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\q**ask.exe" -atboo**ime
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [HCWemmon] HCWemmon.exe
O4 - HKLM\..\Run: [EPGServiceTool] C:\PROGRA~1\WinTV\EPG Services\System\EPGClient.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [system tool] C:\Programme\kqkebf\xifosysguard.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra bu**on: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\npjpi160_07.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\npjpi160_07.dll
O9 - Extra bu**on: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra bu**on: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra bu**on: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra bu**on: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - h**p://by121fd.bay121.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AAV UpdateService - Unknown owner - C:\Programme\Gemeinsame Dateien\AAV\aavus.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: EPGService - Hauppauge Computer Works - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Lotus Notes - Gemeinsame Anmeldung (Lotus Notes Single Logon) - IBM Corp - C:\WINDOWS\system32\nslsvice.exe
O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\Programme\IBM\Lotus Notes\ntmulti.exe

--
End of file - 6514 bytes

Chris4You · 02.09.2009, 07:18

Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

ATTFilter

C:\Programme\kqkebf\xifosysguard.exe
C:\WINDOWS\system32\iehelper.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Also, nur wenn beide erkannt, sonst das nicht erkannte unten bei Files to delete rauslöschen!:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

ATTFilter

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|system tool
 
Files to delete:
C:\Programme\kqkebf\xifosysguard.exe
C:\WINDOWS\system32\iehelper.dll

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code:

ATTFilter

O1 - Hosts: 91.212.127.221 virusermoverpro.microsoft.com
O1 - Hosts: 91.212.127.221 virusermoverpro.com
O1 - Hosts: 91.212.127.221 www.virusermoverpro.com

MAM & RSIT:
Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.

RSIT
Random's System Information Tool (RSIT) von random/random liest Systemdetails aus und erstellt ein aussagekräftiges Logfile.

* Lade Random's System Information Tool (RSIT) herunter http://filepony.de/download-rsit/
* speichere es auf Deinem Desktop.
* Starte mit Doppelklick die RSIT.exe.
* Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
* Wenn Du HijackThis nicht installiert hast, wird RSIT das für Dich herunterladen und installieren.
* In dem Fall bitte auch die Nutzungsbedingungen von Trend Micro (http://de.trendmicro.com/de/home) für HJT akzeptieren "I accept".
* Wenn Deine Firewall fragt, bitte RSIT erlauben, ins Netz zu gehen.
* Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
* Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
* Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt (<= minimiert) hier in den Thread.

Chris

arnesail · 02.09.2009, 09:38

Vielen Dank für die tolle Hilfe, in beiden genannten Dateien steckte ein Trojaner:

VIRUSTOTAL logs:

iehelper.dll:
_________________________________________________________

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.09.02 Trojan.Win32.FakeSpypro!IK
AhnLab-V3 5.0.0.2 2009.09.02 Win-Trojan/Bho.12032
AntiVir 7.9.1.7 2009.09.01 TR/BHO.whc.7
Antiy-AVL 2.0.3.7 2009.09.01 Trojan/Win32.BHO.gen
Authentium 5.1.2.4 2009.09.02 W32/FakeAlert.IO
Avast 4.8.1335.0 2009.09.01 Win32:Rootkit-gen
AVG 8.5.0.406 2009.09.02 BHO.JEW
BitDefender 7.2 2009.09.02 -
CAT-QuickHeal 10.00 2009.09.02 -
ClamAV 0.94.1 2009.09.02 -
Comodo 2178 2009.09.02 -
DrWeb 5.0.0.12182 2009.09.02 Trojan.Fakealert.4625
eSafe 7.0.17.0 2009.09.01 -
eTrust-Vet 31.6.6715 2009.09.01 Win32/FakeAlert.APY
F-Prot 4.5.1.85 2009.09.01 W32/FakeAlert.IO
F-Secure 8.0.14470.0 2009.09.02 Trojan.Win32.BHO.whc
Fortinet 3.120.0.0 2009.09.02 W32/BHO.WHC!tr
GData 19 2009.09.02 Win32:Rootkit-gen
Ikarus T3.1.1.68.0 2009.09.02 Trojan.Win32.FakeSpypro
Jiangmin 11.0.800 2009.09.02 Trojan/BHO.hld
K7AntiVirus 7.10.833 2009.09.01 -
Kaspersky 7.0.0.125 2009.09.02 Trojan.Win32.BHO.whc
McAfee 5727 2009.09.01 FakeAlert-FV.dll
McAfee+Artemis 5727 2009.09.01 FakeAlert-FV.dll
McAfee-GW-Edition 6.8.5 2009.09.02 Trojan.BHO.whc.7
Microsoft 1.5005 2009.09.02 Trojan:Win32/FakeSpypro
NOD32 4387 2009.09.01 Win32/Adware.SpywareProtect2009
Norman 2009.09.01 W32/BHO.PNP
nProtect 2009.1.8.0 2009.09.01 Trojan/W32.BHO.12032.B
Panda 10.0.2.2 2009.09.01 Adware/AntivirusSystemPro
PCTools 4.4.2.0 2009.08.31 -
Prevx 3.0 2009.09.02 Medium Risk Malware
Rising 21.45.14.00 2009.09.01 Trojan.Win32.FakeAV.aaf
Sophos 4.45.0 2009.09.02 Troj/FakeSp-Gen
Sunbelt 3.2.1858.2 2009.09.01 -
Symantec 1.4.4.12 2009.09.02 -
TheHacker 6.3.4.3.395 2009.09.02 Trojan/BHO.whc
TrendMicro 8.950.0.1094 2009.09.02 TROJ_FAKESPYP.C
VBA32 3.12.10.10 2009.09.01 Trojan.Win32.BHO.whc
ViRobot 2009.9.2.1913 2009.09.02 -
VirusBuster 4.6.5.0 2009.09.01 -
weitere Informationen
File size: 12032 bytes
MD5...: fd7f09e24090efd181a7beff0d731a93
SHA1..: 68045b2b769fbfb661885b734898e59bd84c3a9d
SHA256: dc4198044f844602d16fc356f545723ece247a0d786dbf6bb9b79683007fdfdd
ssdeep: 192:M2dgkQYm1+2WaRYBq8OToAPA8CKqNA1SoKRZ:M2fZaRYBB1APhC0jKRZ

PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1ddd
timedatestamp.....: 0x4a97cfad (Fri Aug 28 12:38:05 2009)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x13bf 0x1400 5.88 19c249750d49a4dc9d6834e83e79d0d1
.rdata 0x3000 0xcb0 0xe00 4.11 b12e3b82a56cb7edf3dc603f23a56521
.data 0x4000 0x147c 0x200 2.90 de71dbf34b7926c0b57b218f3fabb5a4
.rsrc 0x6000 0x1b4 0x200 5.11 dd5f1177ec7ea95e9636cfc36475caae
.reloc 0x7000 0x25c 0x400 4.08 63f15b90beb97b33e201d6e4552fe36e

( 4 imports )
> SHLWAPI.dll: SHDeleteKeyW, SHSetValueW, SHGetValueW
> MSVCRT.dll: free, __1type_info@@UAE@XZ, malloc, _adjust_fdiv, __2@YAPAXI@Z, wcscpy, __3@YAXPAX@Z, srand, rand, wcsstr, wcslen, memcmp, wcscat, memcpy, _initterm
> USER32.dll: wsprintfW
> KERNEL32.dll: IsDebuggerPresent, SetUnhandledExceptionFilter, UnhandledExceptionFilter, CloseHandle, MultiByteToWideChar, CreateFileW, GetModuleFileNameW, ReadFile, InterlockedDecrement, InterlockedIncrement, SetFilePointer, TerminateProcess, GetCurrentProcess, GetSystemTimeAsFileTime

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

RDS...: NSRL Reference Data Set
-
pdfid.: -
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=264517A000CA1F512FC1006D7C556800A7C91479' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=264517A000CA1F512FC1006D7C556800A7C91479</a>
packers (Antiy-AVL): CrypToCrackPeProtector0.93
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

xifosysguard.exe:
_____________________________________________________________

Die Datei wurde bereits analysiert:
MD5: b5b7d981285810715093052e7bb4b280
First received: 2009.09.01 20:09:15 UTC
Datum 2009.09.01 23:19:39 UTC [<1D]
Ergebnisse 8/41
Permalink: analisis/b5a91c5e59d7db274804fa97a622d730effb96dfa118f7b2cae3f9f71e0eb5c2-1251847179

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.09.01 -
AhnLab-V3 5.0.0.2 2009.09.01 -
AntiVir 7.9.1.7 2009.09.01 -
Antiy-AVL 2.0.3.7 2009.09.01 -
Authentium 5.1.2.4 2009.09.01 -
Avast 4.8.1335.0 2009.09.01 -
AVG 8.5.0.406 2009.09.02 -
BitDefender 7.2 2009.09.02 -
CAT-QuickHeal 10.00 2009.09.01 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.09.01 -
Comodo 2174 2009.09.02 -
DrWeb 5.0.0.12182 2009.09.01 Trojan.Fakealert.4943
eSafe 7.0.17.0 2009.09.01 -
eTrust-Vet 31.6.6715 2009.09.01 -
F-Prot 4.5.1.85 2009.09.01 -
F-Secure 8.0.14470.0 2009.09.01 Trojan:W32/Agent.LQQ
Fortinet 3.120.0.0 2009.09.01 PossibleThreat
GData 19 2009.09.02 -
Ikarus T3.1.1.68.0 2009.09.01 -
Jiangmin 11.0.800 2009.09.01 -
K7AntiVirus 7.10.833 2009.09.01 -
Kaspersky 7.0.0.125 2009.09.02 -
McAfee 5727 2009.09.01 -
McAfee+Artemis 5727 2009.09.01 Artemis!B5B7D9812858
McAfee-GW-Edition 6.8.5 2009.09.02 Heuristic.LooksLike.Win32.SuspiciousPE.C
Microsoft 1.5005 2009.09.02 -
NOD32 4387 2009.09.01 -
Norman 2009.09.01 -
nProtect 2009.1.8.0 2009.09.01 -
Panda 10.0.2.2 2009.09.01 Suspicious file
PCTools 4.4.2.0 2009.08.31 -
Prevx 3.0 2009.09.02 Medium Risk Malware
Rising 21.45.14.00 2009.09.01 -
Sophos 4.45.0 2009.09.01 -
Sunbelt 3.2.1858.2 2009.09.01 -
Symantec 1.4.4.12 2009.09.02 -
TheHacker 6.3.4.3.394 2009.09.01 -
TrendMicro 8.950.0.1094 2009.09.01 -
VBA32 3.12.10.10 2009.09.01 -
ViRobot 2009.9.1.1911 2009.09.01 -
VirusBuster 4.6.5.0 2009.09.01 -
weitere Informationen
File size: 269056 bytes
MD5 : b5b7d981285810715093052e7bb4b280
SHA1 : f38ec1434e0b4121e74031319dc65fb8a8bde5b8
SHA256: b5a91c5e59d7db274804fa97a622d730effb96dfa118f7b2cae3f9f71e0eb5c2
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4D001
timedatestamp.....: 0x4A9B9868 (Mon Aug 31 11:31:20 2009)
machinetype.......: 0x14C (Intel I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x10000 0x4E00 7.95 a11dcf677d88aad928600a0e68f61293
.data 0x11000 0x4C4 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0x12000 0x3B000 0x3B000 8.00 d84fa996821e5c2da236af5f0387e726
.code 0x4D000 0x2000 0x1800 5.36 fa66ace0751ab63c546114b49f10536d
.adata 0x4F000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

( 2 imports )

> kernel32.dll: GetProcAddress, GetModuleHandleA, LoadLibraryA
> msvbvm60.dll: MethCallEngine

( 0 exports )

TrID : File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ssdeep: 6144:gD/BZiGB+fYonG3/jXiDI8g6QlsaCbFM/U1XmiKhH:w/bBoj3I8sl5CbF12/hH
Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=686FCC1700E7DA251B36048B1648B800E886E3CA
PEiD : -
packers (Kaspersky): ASPack
RDS : NSRL Reference Data Set
-

_____________________________________________

nach Ausführen des Scriptes in Avenger habe ich folgendes Log avenger.txt erhalten:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\WINDOWS\system32\iehelper.dll" deleted successfully.
Registry value "HKLM\Software\Microsoft\Windows\CurrentVersion\Run|system tool" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

_________________________

In HijackThis habe ich diese Einträge auch gefixt:

O1 - Hosts: 91.212.127.221 virusermoverpro.microsoft.com
O1 - Hosts: 91.212.127.221 virusermoverpro.com
O1 - Hosts: 91.212.127.221 w**.virusermoverpro.com

_____________________________

....und es läuft wieder. Großes DANKE für die schnelle und kompetente Antwort von Chris !!!!

Chris4You · 02.09.2009, 09:55

Hi,

so wie es aussieht hast Du C:\Programme\kqkebf\xifosysguard.exe
aus dem Avengerscript rausgenommen, gibt es dazu einen Grund?

Dann solltest Du auf jeden Fall noch MAM laufen lassen und Dein System
bei Gelegenheit mal updaten (SP3 etc.)...

Chris

arnesail · 03.09.2009, 08:57

Hi Chris,

habe es beim ersten Lauf rausgenommen (davon ist wohl das Log File), da ich xifosyguard zunächst nicht bei Virustotal hochladen konnte. Das Avengerskript habe ich dann sukzessive über beide Files laufen lassen. Das File xifosyguard.exe sehe ich nun nicht mehr, ist das richtig ?
_______________________________

Das MAM logfile sagt folgendes:
Malwarebytes' Anti-Malware 1.40
Datenbank Version: 2734
Windows 5.1.2600 Service Pack 2

03.09.2009 09:39:57
mbam-log-2009-09-03 (09-39-57).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 96777
Laufzeit: 7 minute(s), 44 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{12bc3dab-d768-4f05-88a5-fcc9099f5a0f} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{12bc3dab-d768-4f05-88a5-fcc9099f5a0f} (Trojan.Vundo.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\AvScan (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\System Tool (Fake.SystemTool) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

_________________________________

Jetzt installiere ich gerade SP3.

Danke,
Arne.

Chris4You · 03.09.2009, 09:59

Hi,

okay...
Nach Abschluß der Installation bitte noch ein abschließender Scan mit Prevx:
http://www.prevx.com/freescan.asp
Falls das Tool was findet, nicht das Log posten sondern einen Screenshot des dann angezeigten Fensters...

Was treibt der Rechner so?

chris

lsp.dll gelöscht, aber Trojaner noch da...

Log-Analyse und Auswertung: lsp.dll gelöscht, aber Trojaner noch da...