Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Bitte dringend um Hilfe ! (https://www.trojaner-board.de/22055-bitte-dringend-um-hilfe.html)

Skippy 21.09.2005 21:11
Bitte dringend um Hilfe !
 
Mein Virenscanner sagt mir, dass ich mir Win32.bagle.n eingehandelt habe. Der Wurm (?) sitzt jeweils auf einer Datei twunk_32.exe. Ich werde das Teil nicht los.
Ich habe im abgesicherten Modus (ist das so richtig ?) den folgenden Logfile erstellt.
Bitte schaut euch das mal an und sagt mir, was ich machen soll, da ich blutiger Anfänger mit Virenbeseitigung bin.
Danke !!!

Logfile of HijackThis v1.99.1
Scan saved at 22:02:39, on 21.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;<local>
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonalPremium\AVGNT.EXE /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2005\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2005\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2005\\Parser.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1122052639468
O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - AntiVir PersonalProducts GmbH. - C:\PROGRAMME\AVPERSONALPREMIUM\AVMAILC.EXE
O23 - Service: AntiVir Service (AntiVirService) - AntiVir PersonalProducts GmbH - C:\PROGRAMME\AVPERSONALPREMIUM\AVGUARD.EXE
O23 - Service: AVE Service (AVEService) - AntiVir PersonalProducts GmbH - C:\PROGRAMME\AVPERSONALPREMIUM\AVESVC.EXE
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonalPremium\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

stupormundi 22.09.2005 05:49
Servus, skippy!

Zitat:
Ich habe im abgesicherten Modus (ist das so richtig ?) den folgenden Logfile erstellt.
Nein, da nicht alle sonst im "Normalbetrieb" laufenden Prozesse angezeigt werden - was aber interessant ist. Bitte poste also ein Logfile aus Deinem "normalen" Account!
Das kannst Du auf jeden Fall im abgesicherten Modus bei abgeschalteter Systemwiederherstellung fixen:
Zitat:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = fritz.box;<local>
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
Die Einträge
Zitat:
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
bearbeite mit lspfix
Zitat:
Was zu unternehmen ist:
Diese Einträge sollten nicht manuell gelöscht werden!
Beste Möglichkeiten zur Reparatur bieten LSPFix http://www.cexx.org/lspfix.htm von Cexx.org, oder Spybot S&D http://security.kolla.de/ von Kolla.de.
Hinweis: Aus Gründen der Systemsicherheit können unbekannte Dateien im 'LSP stack' nicht durch HijackThis gefixt werden.
Bis nachher, stupormundi

Skippy 22.09.2005 07:32
Schönen Dank für die Hilfe.
Anbei ein neuer Logfile.
Wenn ich "R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = fritz.box;<local>" fixe funktioniert mein DSL nicht mehr, daher ist es noch drin.
Die restlichen Tips habe ich durchgeführt.

Logfile of HijackThis v1.99.1
Scan saved at 08:23:32, on 22.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONALPREMIUM\AVGUARD.EXE
C:\PROGRAMME\AVPERSONALPREMIUM\AVESVC.EXE
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\AVPersonalPremium\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRAMME\AVPERSONALPREMIUM\AVMAILC.EXE
C:\WINDOWS\SYSTEM32\Userinit.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\AVPersonalPremium\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonalPremium\AVGNT.EXE /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2005\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2005\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2005\\Parser.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1122052639468
O23 - Service: AntiVir Mail Security Service (AntiVirMailService) - AntiVir PersonalProducts GmbH. - C:\PROGRAMME\AVPERSONALPREMIUM\AVMAILC.EXE
O23 - Service: AntiVir Service (AntiVirService) - AntiVir PersonalProducts GmbH - C:\PROGRAMME\AVPERSONALPREMIUM\AVGUARD.EXE
O23 - Service: AVE Service (AVEService) - AntiVir PersonalProducts GmbH - C:\PROGRAMME\AVPERSONALPREMIUM\AVESVC.EXE
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonalPremium\AVWUPSRV.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

stupormundi 22.09.2005 07:53
Hallo, skippy!
Probier die Datei
Zitat:
twunk_32.exe
mit der killbox
http://www.bleepingcomputer.com/files/killbox.php mit der Option "delete on reboot" im abgesicherten modus bei abgeschalteter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html zu löschen!
Dein HJT-Logfile sieht für mich jetzt sauber aus!
Lass´nach der Entfernung der Schaddatei mit der Killbox mal ein escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17492 laufen und poste anschließend das Ergebnis von Haui45´s find.rar http://www.cidres-security.de/picture/Find.rar hier im board.
Habe Geduld, bei richtiger Konfiguration läuft der Scan 1 Stunde und länger
Bis dann, stupormundi

Skippy 22.09.2005 20:15
Vielen Dank für die Hilfe !!!!!!
Anbei das Ergebnis von Haui45´s find.rar:
Den "zipitpro" habe ich wahrscheinlich (hoffentlich) schon erledigt.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Thu Sep 22 18:35:03 2005 => System found infected with StyleXP Spyware/Adware ({C333CF63-767F-4831-94AC-E683D962C63C})! Action taken: No Action Taken.
Thu Sep 22 18:35:24 2005 => System found infected with zipitpro Spyware/Adware (C:\WINDOWS\iun6002.exe)! Action taken: No Action Taken.
Thu Sep 22 18:41:54 2005 => Total Disinfected Files: 0
Thu Sep 22 18:44:01 2005 => System found infected with StyleXP Spyware/Adware ({C333CF63-767F-4831-94AC-E683D962C63C})! Action taken: No Action Taken.
Thu Sep 22 18:44:19 2005 => System found infected with zipitpro Spyware/Adware (C:\WINDOWS\iun6002.exe)! Action taken: No Action Taken.
Thu Sep 22 18:44:44 2005 => Total Disinfected Files: 0
Thu Sep 22 18:47:35 2005 => System found infected with StyleXP Spyware/Adware ({C333CF63-767F-4831-94AC-E683D962C63C})! Action taken: No Action Taken.
Thu Sep 22 18:47:52 2005 => System found infected with zipitpro Spyware/Adware (C:\WINDOWS\iun6002.exe)! Action taken: No Action Taken.
Thu Sep 22 19:09:09 2005 => Scanning Folder: C:\Programme\AVPersonalPremium\INFECTED\*.*
Thu Sep 22 19:09:14 2005 => Scanning Folder: C:\Programme\AVPersonalPremium\MAIL\INFECTED\*.*
Thu Sep 22 20:15:23 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Thu Sep 22 19:22:55 2005 => Scanning File C:\Programme\MAGIX\Foto_Maker_ 2005\Icons\Tagged Image File Format.ico
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
Thu Sep 22 18:35:24 2005 => Offending file found: C:\WINDOWS\iun6002.exe
Thu Sep 22 18:41:54 2005 => Total Virus(es) Found: 2
Thu Sep 22 18:44:19 2005 => Offending file found: C:\WINDOWS\iun6002.exe
Thu Sep 22 18:44:44 2005 => Total Virus(es) Found: 2
Thu Sep 22 18:47:52 2005 => Offending file found: C:\WINDOWS\iun6002.exe
Thu Sep 22 20:15:23 2005 => Total Virus(es) Found: 2
Thu Sep 22 18:41:54 2005 => Total Errors: 105
Thu Sep 22 18:44:44 2005 => Total Errors: 37
Thu Sep 22 20:15:23 2005 => Total Errors: 109
Thu Sep 22 18:41:54 2005 => Time Elapsed: 00:07:41
Thu Sep 22 18:44:44 2005 => Time Elapsed: 00:01:06
Thu Sep 22 20:15:23 2005 => Time Elapsed: 01:28:24
Thu Sep 22 18:41:54 2005 => Total Objects Scanned: 26093
Thu Sep 22 18:44:44 2005 => Total Objects Scanned: 20815
Thu Sep 22 20:15:23 2005 => Total Objects Scanned: 90584
Thu Sep 22 18:33:32 2005 => Virus Database Date: 2005/09/22
Thu Sep 22 18:41:54 2005 => Virus Database Date: 2005/09/22
Thu Sep 22 18:41:58 2005 => Virus Database Date: 2005/09/22
Thu Sep 22 18:44:43 2005 => Virus Database Date: 2005/09/22
Thu Sep 22 18:45:35 2005 => Virus Database Date: 2005/09/22
Thu Sep 22 18:46:25 2005 => Virus Database Date: 2005/09/22
Thu Sep 22 20:15:23 2005 => Virus Database Date: 2005/09/22
Thu Sep 22 20:33:15 2005 => Virus Database Date: 2005/09/22
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

stupormundi 23.09.2005 06:01
Servus, skippy!
Die Datei
Zitat:
C:\WINDOWS\iun6002.exe
auch noch mit der killbox beamtshandeln wie oben beschrieben
Lass anschließend mal Spybot S&D http://security.kolla.de/ und/oder Adaware http://www.lavasoft.de/ im abgesicherten Modus laufen und entferne, was vorgeschlagen wird.
Danach nach temp. Ordner, Papierkorb leeren und anschließend die Systemwiederherstellung wieder einschalten!
stupormundi

Skippy 23.09.2005 06:42
Die Datei iun6002.exe hatte ich schon mit der killbox behandelt (man hat ja gelernt :daumenhoc ). Weder Spybot noch Adaware zeigen eine Meldung (haben sie vorher aber auch nicht ! :( )
Aber was ist mit "Thu Sep 22 18:35:03 2005 => System found infected with StyleXP Spyware/Adware ({C333CF63-767F-4831-94AC-E683D962C63C})! Action taken: No Action Taken." ?

stupormundi 23.09.2005 06:54
Hallo, Skippy!

Kannst ignorieren!
http://castlecops.com/tk1092-TGT_BHO_dll.html
Zitat:
Style XP
Mit diesem Programm ist es möglich, Windows XP mit eigenen Designs auszustatten. Man erhält diverse Möglichkeiten, beispielsweise Icon Sets zu nutzen. So lassen sich alle Windows Icons mit einer einzigen Datei verändern. Skurrilerweise gibt es zwei Varianten zum Download, eine weibliche und eine männliche Version. Die unterscheiden sich in der Art der bereitgestellten Icons.
Quelle: http://www.computerbase.de/downloads...teme/style_xp/
Wenn es dich stört, versuch es, über Systemsteuerung-->Software zu deinstallieren!
stupormundi

Skippy 23.09.2005 07:37
Hallo stupormundi,

dann ist mein Rechner jetzt sauber !
Habe die ganze Palette noch mal drüberlaufen lassen und alles ist weg.
Nochmals vielen Dank für die tolle Unterstützung :daumenhoc :aplaus:


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:09 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19