|
Storageprotector.com Hallo, ich habe Probleme mit einem unliebsamen Gastprogramm, dass mich auf die Seite storageprotector.com verweisen will. Ab und zu entsteht im Taskmanager ein Prozess namens Windows, die die Performance meines PCs ungemein lähmt und sich nicht unterbrechen lässt. Dann generiert es Warnungen und Fehlermeldungen mit einem Link der auf besagte Seite führt. Außerdem habe ich zwei neue unlöschbare Verknüpfungen auf dem Desktop namens "Windows Update" und "Help and Support Center", die ebenfalls auf storageprotector.com verweisen. Und zuletzt habe seitdem ich einen Haufen neuer Dateien auf C:\ die alle nach dem Schema pos1A2.tmp benannt sind und auch wieder unlöschbar sind. Meine Antispyware Programme sind machtlos dagegen. Hier der Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:28:05, on 13.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Tools\Adaware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\WINDOWS\system32\cisvc.exe C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\Cyberlink\Shared files\RichVideo.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\cidaemon.exe C:\WINDOWS\CTHELPER.EXE C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\Programme\MSN Messenger\MsnMsgr.Exe C:\Tools\Bittorrent\bittorrent .exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\HP\HP Software Update\HPWuSchd2 .exe C:\Tools\ICQ\ICQ6\ICQ .exe C:\Tools\Daemon Tools\DAEMON Tools Lite\daemon.exe C:\Tools\Bittorrent\bittorrent .exe C:\Tools\ICQ\ICQ6\ICQ .exe C:\Tools\Daemon Tools\DAEMON Tools Lite\daemon .exe C:\Tools\Treiber\Maus\MouseWare\system\em_exec.exe C:\Programme\MSN Messenger\MsnMsgr .Exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe C:\Programme\MSN Messenger\usnsvc.exe C:\Programme\Windows Media Player\wmplayer.exe C:\Tools\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.daemon-search.com/startpage R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = F3 - REG:win.ini: load=C:\WINDOWS\system32\ddcyw.exe O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE O4 - HKLM\..\Run: [itype] "c:\Programme\Microsoft IntelliType Pro\itype.exe" O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Tools\Adobe Acrobat Reader\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [RemoteControl] C:\Tools\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [LanguageShortcut] C:\Tools\PowerDVD\Language\Language.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Tools\Quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [4c815d9c] rundll32.exe "C:\WINDOWS\system32\lilxoyam.dll",b O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020 O4 - HKCU\..\Run: [BitTorrent] "C:\Tools\Bittorrent\bittorrent .exe" O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe" O4 - HKCU\..\Run: [ICQ ] "C:\Tools\ICQ\ICQ6\ICQ .exe" silent O4 - HKCU\..\Run: [ICQ ] "C:\Tools\ICQ\ICQ6\ICQ .exe" silent O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Tools\Daemon Tools\DAEMON Tools Lite\daemon.exe" O4 - HKCU\..\Run: [ICQ] "C:\Tools\ICQ\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [ICQ ] "C:\Tools\ICQ\ICQ6\ICQ .exe" silent O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ICQ ] "C:\Tools\ICQ\ICQ6\ICQ .exe" silent O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: HP Photosmart Premier – Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MI1933~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Tools\ICQ\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Tools\ICQ\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {69EF49E5-FE46-4B92-B5FA-2193AB7A6B8A} (GameLauncher Control) - h**p://www.acclaim.com/cabs/acclaim_v8.cab O16 - DPF: {BD08A9D5-0E5C-4F42-99A3-C0CB5E860557} (CSolidBrowserObj Object) - h**p://cdn1.acclaimdownloads.com/solidstateion.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Tools\Adaware\aawservice.exe O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe -- End of file - 8101 bytes |
Dateien Online überprüfen lassen: * Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien: (lass auch die versteckten Dateien anzeigen!) Zitat:
Wenn die Meldung kommt, dass diese Datei schon geprüft wurde, lasse die betreffende Datei dennoch noch einmal prüfen. * Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den SHA1 /MD5 und dem Kopf kopieren!) Und: Verabschiede Dich von derlei Programmen C:\Tools\Bittorrent\bittorrent.exe |
Hallo @Alexander Die Datei C:\WINDOWS\system32\ddcyw.exe sollte auch bei VT ausgewertet werden. |
Nö, die kenn ich ja schon:party: Muss ja keine Serverlast erzeugen, wo sie nicht nötig ist. |
Datei lilxoyam.dll empfangen 2008.01.14 15:10:45 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 20/32 (62.5%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.1.14.10 2008.01.14 Win-Trojan/Vundo.90176 AntiVir 7.6.0.46 2008.01.14 TR/Vundo.DUP Authentium 4.93.8 2008.01.13 W32/Trojan2.SUJ Avast 4.7.1098.0 2008.01.14 - AVG 7.5.0.516 2008.01.13 Lop BitDefender 7.2 2008.01.14 Trojan.Vundo.DUP CAT-QuickHeal 9.00 2008.01.12 AdWare.Virtumonde.din (Not a Virus) ClamAV 0.91.2 2008.01.13 - DrWeb 4.44.0.09170 2008.01.14 - eSafe 7.0.15.0 2008.01.13 - eTrust-Vet 31.3.5456 2008.01.14 Win32/Vundo.JH Ewido 4.0 2008.01.14 - FileAdvisor 1 2008.01.14 - Fortinet 3.14.0.0 2008.01.14 - F-Prot 4.4.2.54 2008.01.13 W32/Trojan2.SUJ F-Secure 6.70.13030.0 2008.01.14 - Ikarus T3.1.1.20 2008.01.14 Trojan.Vundo.DUP Kaspersky 7.0.0.125 2008.01.14 not-a-virus:AdWare.Win32.Virtumonde.din McAfee 5205 2008.01.11 - Microsoft 1.3109 2008.01.14 Trojan:Win32/Vundo.gen!A NOD32v2 2789 2008.01.14 Win32/Adware.Virtumonde Norman 5.80.02 2008.01.11 W32/Virtumonde.JJO Panda 9.0.0.4 2008.01.13 Spyware/Virtumonde Prevx1 V2 2008.01.14 Trojan.Vundo Rising 20.27.02.00 2008.01.14 - Sophos 4.24.0 2008.01.14 Troj/Virtum-Gen Sunbelt 2.2.907.0 2008.01.12 - Symantec 10 2008.01.14 Trojan.Adclicker TheHacker 6.2.9.187 2008.01.13 - VBA32 3.12.2.5 2008.01.13 AdWare.Win32.Virtumonde.din VirusBuster 4.3.26:9 2008.01.13 Adware.Vundo.V.Gen Webwasher-Gateway 6.0.1 2008.01.14 Trojan.Vundo.DUP weitere Informationen File size: 90176 bytes MD5: 2cbf4ab58869a6a1d72256ede03c9ebd SHA1: 1261851f9770fa352d92373d6ce5d8ad8ea2527e PEiD: - Prevx info: h**p://info.prevx.com/aboutprogramtext.asp?PX5=19ED662540B7E57860B7010ABB23AE00009EFD9D Zitat:
|
Zitat:
Und: Backdoors, spezielle Backdoors können alle Programme nutzen um Deinen Rechner zu kompromittieren. Als allgemeiner Tipp ist zu verstehen, nicht alles auf den Rechner zu laden, was bei drei nicht offline ist. Combofix - Download ComboFix von hier oder hier auf Deinen Desktop. - Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall. - Mache einen Doppelklick auf combofix.exe - Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht. |
Uff, die beiden Logs übertreffen die maximale Zeichenanzahl um mehr als das Doppelte, ich hab sie deshalb als .txt hochgeladen. h**p://rapidshare.com/files/84030776/blabla.txt.html Zitat:
|
Das ist ja mal ein Logfile!:eek: Du hast einen Backdoor auf dem Rechner, keinen lustigen und die bitdefender .exe deuten auf weiteren Befall hin, da dies Platzhalter sind. Wo hast Du denn Torrent her? Sicher gibt es mitlerweile auch "legale" Downloads p2p aber das gro sieht anders aus, sind wir doch mal ehrlich. Dateien Online überprüfen lassen: * Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien: (lass auch die versteckten Dateien anzeigen!) Zitat:
Wenn die Meldung kommt, dass diese Datei schon geprüft wurde, lasse die betreffende Datei dennoch noch einmal prüfen. * Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den SHA1 /MD5 und dem Kopf kopieren!) |
Tut mir Leid, aber die Datei krdpdre.sys existiert nicht (mehr). Natürlich habe ich versteckte Ordner anzeigen lassen, doch sie ist nicht da, ich habe auch nach ihr suchen lassen und nichts gefunden. Zitat:
Was die Platzhalter angeht, mir fällt da ICQ und Bittorrent auf. Interessanterweise die beiden Programme, die seitdem Probleme machen. ICQ loggt sich nicht mehr von alleine ein und Bittorrent will sich immer selbst installieren, obwohl es schon installiert ist (ich hab deinen Rat noch nicht befolgt und es deinstalliert). Zitat:
|
Ich meinte die Bittorrent .exe! Die sieht serh komisch aus. Dennoch führt imho an einer Neuinstallation kein Weg vorbei, sry. |
Schade... Danke auf jeden Fall für die Mühen die du dir gemacht hast. Die Performanceeinbrüche sind immerhin verschwunden und die Desktopsymbole sowie die etlichen Dateien auf C:\ konnte ich nun löschen, aber das werden nicht alle Probleme gewesen sein. |
Wenn Du noch nichts gemacht hast, lass uns einen eScan zumindest versuchen. MWAV (eScan) - Free Antivirus -> Lies dir folgende Anleitung genau durch und arbeite sie ab -> Anleitung eScan Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'. (rechte Maustaste auf den LINK 'find.bat' , dann "Ziel Speichern unter" -> Desktop) Dauer des eScan: ca. 2-3 Stunden, je nach System! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:39 Uhr. |
Copyright ©2000-2025, Trojaner-Board