Win32.Small.ai - nicht zu entfernen

rickyshand · 11.10.2004, 14:30

Von Pest Patrol gefunden. Taucht aber immer wieder auf.
Habe daraufhin den Ordner "inet73kmd" (unter c:\windows) mit der darin enthaltenen Datei "service.exe" gelöscht. Trotzdem zeigt Pest Patrol weiterhin den Befall in der Registry an:

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\xp_system

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\xp_system

Löschen dieser Einträge nutzt natürlich nichts. Irgendetwas erneuert sie sofort.
Auf der Pest Patrol Seite als mögliche verantwortliche angegebene Dateien ("systemroot+", "inetm", "1.00.04.dll", "crontab.ini", "id.ini" "inetg", "keywords.ini") kann ich bei mir nicht entdecken.

Laufende Prozesse:

AppServices.exe 1344 C:\PROGRA~1\Iomega\System32\AppServices.exe
ccApp.exe 148 C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
ccEvtMgr.exe 1308 C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
ccPxySvc.exe 420 C:\Programme\Norton Internet Security\ccPxySvc.exe
csrss.exe 592 C:\WINDOWS\system32\csrss.exe
ctfmon.exe 1928 C:\WINDOWS\System32\ctfmon.exe
Explorer.EXE 1688 C:\WINDOWS\Explorer.EXE
frnDSL.exe 2852 C:\Programme\frnDSL\frnDSL.exe
IEXPLORE.EXE 2772 C:\Programme\Internet Explorer\IEXPLORE.EXE
ImgIcon.exe 1128 C:\Programme\Iomega\DriveIcons\ImgIcon.exe
lsass.exe 680 C:\WINDOWS\system32\lsass.exe
MsPMSPSv.exe 296 C:\WINDOWS\System32\MsPMSPSv.exe
navapsvc.exe 1368 C:\Programme\Norton Antivirus\navapsvc.exe
NISUM.EXE 1396 C:\Programme\Norton Internet Security\NISUM.EXE
nopdb.exe 144 C:\PROGRA~1\NORTON~3\SPEEDD~1\nopdb.exe
NPROTECT.EXE 1752 C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
nvsvc32.exe 1968 C:\WINDOWS\System32\nvsvc32.exe
PrcView.exe 2212 C:\Programme\Norton SystemWorks\Process Viewer\PrcView.exe
services.exe 668 C:\WINDOWS\system32\services.exe
smss.exe 544 C:\WINDOWS\System32\smss.exe
spoolsv.exe 1180 C:\WINDOWS\system32\spoolsv.exe
svchost.exe 260 C:\WINDOWS\System32\svchost.exe
svchost.exe 840 C:\WINDOWS\system32\svchost.exe
svchost.exe 892 C:\WINDOWS\System32\svchost.exe
svchost.exe 1008 C:\WINDOWS\System32\svchost.exe
svchost.exe 1036 C:\WINDOWS\System32\svchost.exe
SYSDOC32.EXE 1072 C:\Programme\Norton SystemWorks\Norton Utilities\SYSDOC32.EXE
taskmgr.exe 1192 C:\WINDOWS\System32\taskmgr.exe
winlogon.exe 616 C:\WINDOWS\system32\winlogon.exe

Norton, Mcaffee Stinger, The Cleaner und Ad-Aware zeigen übrigens garnichts an. Und nun? Bin ratlos ...

Cidre · 11.10.2004, 16:49

Hallo,

soviel Zeit sollte eigentlich sein!

Erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.

rickyshand · 11.10.2004, 18:27

Hallo - und danke für die Antwort!

Logfile of HijackThis v1.98.2
Scan saved at 18:28:19, on 11.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Programme\Norton Antivirus\navapsvc.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~3\SPEEDD~1\nopdb.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Iomega\AutoDisk\ADService.exe
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Iomega\AutoDisk\ADUserMon.exe
C:\Programme\Iomega\DriveIcons\ImgIcon.exe
C:\Programme\Pestpatrol\PPControl.exe
C:\Programme\Pestpatrol\PPMemCheck.exe
C:\Programme\Pestpatrol\CookiePatrol.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Norton SystemWorks\Norton Utilities\SYSDOC32.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\frnDSL\frnDSL.exe
C:\Programme\Pestpatrol\pestpatrol.exe
C:\Programme\Hijackthis 1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://focus.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.freenet.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer von freenet.de
R3 - Default URLSearchHook is missing
F3 - REG:win.ini: run=C:\WINDOWS\inet73kmd\services.exe
O1 - Hosts: 64.12.152.18 search.netscape.com
O1 - Hosts: 64.12.152.18 search.netscape.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\ASHAMP~2\PopUp.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton Antivirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [ADUserMon] C:\Programme\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] C:\Programme\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Clone CD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [PcBoost] "C:\Programme\Pc Boost\PcBoost.exe" /start
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\Pestpatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\Pestpatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\Pestpatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AWMON] "C:\PROGRA~1\AD-AWA~1\Ad-Watch.exe"
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet73kmd\services.exe
O4 - HKLM\..\RunOnce: [Pest Cleaning] "C:\Programme\Pestpatrol\ppclean.exe" "clean" "ts:20041009135304437" "cws" "2"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SoundView] C:\WINDOWS\System32\msdview32.exe
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\PROGRA~1\ASHAMP~2\PopUpKiller.exe
O4 - HKCU\..\Run: [TVgenial] C:\Programme\TVgenial\TVgenial.exe -d
O4 - HKCU\..\Run: [GoldMinerSetup.exe] D:\DOWNLO~1\GOLDMI~1.EXE /r
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet73kmd\services.exe
O4 - Startup: Norton System Doctor.LNK = C:\Programme\Norton SystemWorks\Norton Utilities\SYSDOC32.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Download with GetRight - C:\Programme\Getright 5\GRdownload.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\Getright 5\GRbrowse.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: Preispiraten 2.02 - {86DE8B3B-1EB7-4386-84BD-EBE94348A913} - C:\Programme\Preispiraten\preispiraten2ie.exe
O9 - Extra button: eBay Homepage - {D4951B60-8FF9-4813-B716-FF3E75386E74} - http://www.preispiraten.de/cgi-bin/e...://www.ebay.de (file missing)
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O15 - Trusted Zone: http://*.9monde9.org
O16 - DPF: Yahoo! Backgammon - http://download.games.yahoo.com/game...ts/y/at1_x.cab
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab
O16 - DPF: Yahoo! Graffiti - http://download.games.yahoo.com/game...s/y/grt5_x.cab
O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/game...ts/y/tt3_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/game...s/y/pote_x.cab
O16 - DPF: Yahoo! Reversi - http://download.games.yahoo.com/game...ts/y/rt0_x.cab
O16 - DPF: Yahoo! Towers 2.0 - http://download.games.yahoo.com/game...s/y/ywt0_x.cab
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8D53A238-9383-4B88-BF72-771169F08AE6}: NameServer = 194.97.173.124 194.97.173.125
O21 - SSODL: SystemCheck - {54645654-2225-4455-44A1-9F4543D34544} - C:\WINDOWS\System32\vbsys.dll

Die kritischen ewig wiederkehrenden - soweit mir bekannt - sind:

O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet73kmd\services.exe
O4 - HKCU\..\Run: [GoldMinerSetup.exe] D:\DOWNLO~1\GOLDMI~1.EXE /r
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet73kmd\services.exe

Können natürlich noch mehr sein. Ich finde halt nur nicht die .exe, .ini, .dll oder was immer, die dafür verantwortlich ist. Und da hilft mir Pest Patrol leider auch nicht weiter. Bin für jeden Tipp dankbar.

P.S.: persönliche Daten hab ich keine in dem Log gesehen

11.10.2004, 18:54

Dies wäre auf jeden Fall mal zu fixen:

R3 - Default URLSearchHook is missing
O1 - Hosts: 64.12.152.18 search.netscape.com
O1 - Hosts: 64.12.152.18 search.netscape.com
O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet73kmd\services.exe
O4 - HKCU\..\Run: [SoundView] C:\WINDOWS\System32\msdview32.exe
O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet73kmd\services.exe
O9 - Extra button: eBay Homepage - {D4951B60-8FF9-4813-B716-FF3E75386E74} -
http://www.preispiraten.de/cgi-bin/...p://www.ebay.de (file missing)
O15 - Trusted Zone: http://*.9monde9.org
O16 - DPF: Yahoo! Backgammon - http://download.games.yahoo.com/gam...nts/y/at1_x.cab
O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.co...t/c381/chat.cab
O16 - DPF: Yahoo! Graffiti - http://download.games.yahoo.com/gam...ts/y/grt5_x.cab
O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/gam...nts/y/tt3_x.cab
O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/gam...ts/y/pote_x.cab
O16 - DPF: Yahoo! Reversi - http://download.games.yahoo.com/gam...nts/y/rt0_x.cab
O16 - DPF: Yahoo! Towers 2.0 - http://download.games.yahoo.com/gam...ts/y/ywt0_x.cab
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {8714912E-380D-11D5-B8AA-00D0B78F3D48} (Yahoo! Webcam Upload Wrapper) - http://chat.yahoo.com/cab/yuplapp.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O21 - SSODL: SystemCheck - {54645654-2225-4455-44A1-9F4543D34544} -
C:\WINDOWS\System32\vbsys.dll

Diese Dateien - sofern noch vorhanden - im abgesicherten Modus löschen:

C:\WINDOWS\inet73kmd\services.exe
C:\WINDOWS\System32\msdview32.exe
C:\WINDOWS\inet73kmd\services.exe
C:\WINDOWS\System32\vbsys.dll

rickyshand · 11.10.2004, 19:32

Alles wie vorgeschlagen gemacht - aber die mistigen Registry Einträge kommen immer noch.

Das klingt wohl nach Neuinstallation ... *seufz*

Cidre · 11.10.2004, 20:06

Wende eScan AntiVirus wie beschrieben im abgesicherten Modus an und poste danach die gefunden Malware:
Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren -> ins Forum übertragen und danach löschen.

rickyshand · 12.10.2004, 09:05

OK - hab den Scan durchgeführt. Er hat auch einiges gefunden (was mich doch erstaunt, dass Norton & Co all das nicht gefunden haben):

File C:\WINDOWS\System32\in10b6.dll infected by "not-a-virus:AdvWare.ToolBar.404Search.a" Virus. Action Taken: File Renamed.

C:\WINDOWS\System32\mssyncr.exe infected by "TrojanDownloader.Win32.Delf.dl" Virus. Action Taken: File Deleted.

C:\Dokumente und Einstellungen\Lex\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\GJ9NSYJK\btype=36&adpos=1&combo=0&country%3Dde%26svc%3Dchat%26ch%3Dlogbook%26ee%3D0%26affiliate%3Ddelycos%26Params.cookie.noupdate%3 Dats%26refurl%3Dhttp%3A%2F%2Fd possibly infected and removed by background antivirus package!

C:\Programme\Norton Antivirus\Quarantine\00CF3C5F infected by "TrojanDownloader.Win32.Small.lg" Virus. Action Taken: File Deleted.

C:\RECYCLER\NPROTECT\00001747.cab infected by "TrojanDownloader.Win32.Small.or" Virus. Action Taken: File Deleted.

C:\RECYCLER\NPROTECT\00002292.EXE infected by "TrojanDownloader.Win32.Keenval" Virus. Action Taken: File Deleted.

D:\Downloads\Shareware\snow3d10.exe infected by "not-a-virus:AdvWare.EZula.j" Virus. Action Taken: File Renamed.

D:\Spiele\Alien Sky\AlienSky.exe infected by "Type_Win32" Virus. Action Taken: File Renamed. (Von mir anschliessend ganz gelöscht)

D:\System Volume Information\_restore{D5EF43BE-7FAF-439A-AA8A-60F234041189}\RP139\A0044650.exe infected by "Trojan.Win32.StartPage.jm" Virus. Action Taken: File Deleted.

So weit, so gut. ABER - die entscheidende Zecke hat er nicht entdeckt, denn die beiden besagten Einträge in der Registry, die Pest Patrol ursrünglich schon gefunden hatte, werden immer noch erneuert. Leider.

Shadowdance · 12.10.2004, 09:33

Hallo rickyshand,

poste bitte nochmal ein neues Hijack This Logfile.

SD

rickyshand · 13.10.2004, 16:01

Hatte jetzt die Faxen dicke und hab ne Neuinstallation vorgenommen und meinen Rechner jetzt hoffentlich besser geschützt.

Danke nochmal für alle Hinweise, einiges davon werd ich mir merken.

11.10.2004, 16:49	#2
Cidre Administrator, a.D.	Win32.Small.ai - nicht zu entfernen Hallo, soviel Zeit sollte eigentlich sein! Erstelle mit HiJackThis ein Log-File und poste es hier rein. Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen. __________________ __________________

11.10.2004, 20:06	#6
Cidre Administrator, a.D.	Win32.Small.ai - nicht zu entfernen Wende eScan AntiVirus wie beschrieben im abgesicherten Modus an und poste danach die gefunden Malware: Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren -> ins Forum übertragen und danach löschen. __________________ --> Win32.Small.ai - nicht zu entfernen

Win32.Small.ai - nicht zu entfernen

Plagegeister aller Art und deren Bekämpfung: Win32.Small.ai - nicht zu entfernen