Eine Horde von Spy/Ad/Trojan/HiJack
 

Hi

Bisher hatte ich selten bis nie Porbleme mit Spyware,Adware,HiJacker und Trojanern da ich einerseits seit Jahren Opera benutze und andererseits immer einen aktuellen Virenscanner und zusätzlich zur HWFirewall noch ZoneAlarm installiert hatte. Da man seit gerauhmer Zeit ZoneAlarm jedoch nicht mehr benutzen kann (killt mir dauernd das System und verlangsamt meine iNet Verbindung auf 0 - 10% ihrer Leistung seit Version 5) surfe ich seit einige Wochen 'Softwarefirewalllos'. (bzw. ich hab die von TrendMicro die bei meinem Virenscanner dabei ist, aber meiner Meinung nach ist die ja eher ein schlechter Witz oder ich versteh einfach ihr 'simples' Bedienungsknozept nicht... - aufjedenfall musste ich sie drastisch runterregeln um noch normal surfen zu können, da sie ja nach ports und nicht nach Anwendungen geht und somit für jeden port ne extra Erlaubnis will im Hochsicherheitsmodus... hat man Proggies die viele Pots benötigen kann man sie nichtmal benutzen da diese Firewall eine maximalanzahl an erlaubten Ports hat ^^)

Nun auf jedenfall hat vor einigen Tagen unangemeldet eine ganze Horde von bösem Code meine Türen eingerannt. (Nachdem ich einmal das System gestartet habe hatte ich einfach plötzlich unzählige Warnungen vom Virenscanner drauf...)

Unter anderem von pccillin un oder AdAware erkannt werden:

eZula
ADW_ZESTYFIND.A
?_BISPY

usw. (es sind wirklich viele, einige davon konnte ich soweit ich weiss schon beseitigen, hab mir aber nicht alle Namen aufgeschrieben..)

Symptome:

In meinem Opera werden regelmässig Websites mit Werbung geöffnet

Auf meinem Desktop werden ab und zu Verknüpfungen zu angeblichen SpywareSacnnern erstellt.

In meinem Porgramme Ordner werden ab und zu neue 'Programme' installiert ;)

Hin und wieder kommen Setup anfragen zu irgendwelcher Software, z.B. irgend ein Paint Programm


Leider kann mein pcCillin diese Schädliinge meist erst genau dann erkennen und löschen, wenn sie zuschlagen - sie sind aber abgesichert und kommen immer wieder. Bei AdAware kann ich zwar regelmässig hunderte von EXEs und RegKey killen, sie kommen aber auch alle wieder.

Mein Hijack this Log:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ABIT\ABIT uGuru\uGuru.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Trend Micro\Internet Security\pccguide.exe
C:\Programme\Trend Micro\Internet Security\PCClient.exe
C:\Programme\Trend Micro\Internet Security\TMOAgent.exe
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\WINDOWS\System32\CTSvcCDA.EXE
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\Programme\ABIT\ABIT uGuru\uGuru_Event_Receiver.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe
C:\Programme\Trend Micro\Internet Security\tmproxy.exe
C:\Programme\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
C:\WINDOWS\System32\MsPMSPSv.exe Der ist mir 'ungewohnt' vorgekommen.. lässt sich aber nicht beenden
C:\Programme\Trillian\trillian.exe
C:\Programme\Xfire\Xfire.exe
C:\Programme\Trend Micro\Internet Security\PccPfw.exe
C:\Programme\Teamspeak\TeamSpeak.exe
C:\Programme\World of Warcraft\WoW.exe
C:\Programme\Opera\opera.exe
C:\Programme\Trend Micro\Internet Security\PCCMAIN.EXE
C:\Dokumente und Einstellungen\David\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://pccreg.antivirus.com/11/PCC/1...01009&PID=CIB0
O1 - Hosts: 69.20.16.183 auto.search.msn.com
O1 - Hosts: 69.20.16.183 search.netscape.com
O1 - Hosts: 69.20.16.183 ieautosearch Kann ich jeweils killen, sind aber immer früher oder später wieder da...
O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName Diese IMJP / PHIME Dateien sind meines Wissen nach harmlos und nur Teil der ostasiatischen Sprachuunterstützung die ich installiert habe
O4 - HKLM\..\Run: [ABIT uGuru] C:\Programme\ABIT\ABIT uGuru\uGuru.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVCLOCK] Rundll32 nvclock.dll,fnNvclock
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security\pccguide.exe"
O4 - HKLM\..\Run: [PCClient.exe] "C:\Programme\Trend Micro\Internet Security\PCClient.exe"
O4 - HKLM\..\Run: [TM Outbreak Agent] "C:\Programme\Trend Micro\Internet Security\TMOAgent.exe" /run
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [RemoveElanIcon] C:\WINDOWS\system32\ELAN.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [WATCHPNP_Samsung] watchPnp.exe Samsung
O4 - HKLM\..\Run: [PCTVRemote] C:\Programme\Pinnacle\Pinnacle PCTV\Remote\Remoterm.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RemoteCenter] C:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - Startup: Verknüpfung mit trillian.exe.lnk = C:\Programme\Trillian\trillian.exe
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C38C1ED5-DBFF-42E5-AFBE-E76CD79F6D2F}: NameServer = 195.186.1.110,193.192.227.3
O20 - Winlogon Notify: ShellServiceObjectDelayLoad - C:\WINDOWS\system32\k2800clmefqa0.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Trend Micro Personal Firewall (PccPfw) - Trend Micro Incorporated. - C:\Programme\Trend Micro\Internet Security\PccPfw.exe
O23 - Service: Trend NT Realtime Service (Tmntsrv) - Trend Micro Incorporated. - C:\Programme\Trend Micro\Internet Security\Tmntsrv.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Incorporated. - C:\Programme\Trend Micro\Internet Security\tmproxy.exe


Ab und zu kann ich im Taskmanager auch einige 'verdächtige' Proggies killen, die hin und wieder auftauchen. Zusätzlich habe ich den bösen Inhalt des Ordners "C:\WINDOWS\isrvs" so beseitigt, indem ich im abgesicherten Modus alles gelöscht habe, aber gleichnamige Files ohne Inhalt an deren Stelle platziert habe. (Wenn ich sie jeweils nur gelöscht habe, wurden sie immer wieder ersetzt beim nächste Start). Einige RegKeys die auf Dateien in diesem ordner verweisen haben, konnte ich auch nicht löschen und hab sie dann im abgesicherten Modus einfach mit anderem 'Inhalt' gefüllt.. seitdem wurde ihr alter Inhalt nicht mehr wiederhergestellt.


Aber eben: Ich hab das Haus voller Schädlinge und komm ihnen irgendwie nicht bei, das sie sich gegenseitig immer wieder zu 'reinitialisieren' versuchen, wenn man sie an einer Stelle ausgeräuchert hat.


Kann mir jemand helfen?


mfg

b00nish

Hallo b00nisch,

http://frankn.com/html/mspmspsv_exe.php <-- google weiss fast alles.

Führe bitte dies mal aus:
1. Downloade Dir escan und befolge genau diese Anleitung (dauert etwa eine Stunde),
2. starte nach dem Scan wieder in den normalen Modus dauert,
3. öffne die Datei "mwav.log", klicke auf "bearbeiten" danach auf "suchen"
4. gebe dann "infected" ein,
5. suche weiter bei Treffern, markiere diese und kopiere sie ins Forum,
6. neben den Treffern auch das Gesamtergebnis (befindet sich ganz unter im Logfile) posten.

Beispiel:
Wed Feb 02 19:48:56 2005 => Total Files Scanned:
Wed Feb 02 19:48:56 2005 => Total Virus(es) Found:
.
.
.
.


dartus

Danke erstmal :)

Momentan leifert mir die eScan Download Page einen ASP Error.

Ich muss aber jetzt dann so oder so los, werde es heute Abend oder Morgen ausprobieren.

2 sachen:

1) die auswärtung hat ergeben, das :

O1 - Hosts: 69.20.16.183 auto.search.msn.com
Böse Dieser Eintrag muss sofort gefixt werden. Muss gefixt werden!
O1 - Hosts: 69.20.16.183 search.netscape.com
Böse Dieser Eintrag muss sofort gefixt werden. Muss gefixt werden!
O1 - Hosts: 69.20.16.183 ieautosearch Kann ich jeweils killen, sind aber immer früher oder später wieder da...


die alle killn...

P.s hast du ne n virenscanner?

ne oder?
:sword2: :sword2:

Weiss ich auch ^^
Nur wie gesagt: Die werden da jedesma wieder von selber riengeschrieben.. solange ich ned die Ursache killen kann nützt es mir nix wenn ich die kille..


Doch, hab ich ja geschrieben :)

Hallo b00nish,

hat es jetzt mit dem download geklappt? Bei mir funktioniert es.

@hughefner

vielen Dank für Deine automatische Auswertung. Du wirst staunen, dass ich das bereits sah. Darum ja der Escan.

dartus

Hi

Ich habe eScan durchlaufen lassen und sämtliche infizierten Files im abgesicherten Modus gelöscht und durch gleichnamige, schreibgeschützte Platzhalter ersetzt. zusätzlcih habe ich mit AdAware nochmal sämtliche Regkey entfernen lassen.

Resultat: Nach dem Neustart findet AdAware/HijackThis nur noch folgendes 'wiederaufgetauchtes':

69.20.16.183 auto.search.msn.com
69.20.16.183 search.netscape.com
69.20.16.183 ieautosearch

pcCillin AntiVirus findet gar nichts mehr.

eScan findet noch einen "Trojan-Downloader.Win32.Small.ru"
Leider konnte ich keine Infos zu dessen Beseitigung finden und seine EXE durch Platzhalter ersetzen geht nicht, da der Ordnername jedesmal anders heisst. Wie diese Trojan es schafft, sich so einzunisten, dass er nach jedem Neustart wieder da ist, weiss ich auch noch nicht.

Es öfnnen sich leider ausserdem auch immernoch ungefragt WebSites mit Werbung...