Hallo,
...
Anfangs ein paar Grundlegende Dinge: An dem Computer, der die Probleme hat, bin ich schon länger nicht mehr "aktiv". Deshalb kann ich auch nicht mit Sicherheit sagen, dass nicht ein anderes Familienmitglied irgendwelche Schadsoftware installiert hat.
Auf dem PC ist Windows XP Professional Edition SP3 installiert, zur Surfen wird hauptsächlich Opera, von meiner Schwester jedoch auch immer wieder der Internet Explorer verwendet.
Viren-Schutz: Kaspersky Internet Security 2009. Alle Ereignisse lese ich aus dessen Protokoll aus.
Es begann alles damit, dass Kasperskys Web-Virus die Meldung ausgab, dass der "Explorer" (ich vermute der von Windows) sich mit dieser Adresse verbinden wollte:
Code:
18.12.2008 21:01:05 h**p://85.17.166.132/dwn/divx.dll?sid=445450594F080F0F000D54585E58515E514F1F545B365C365836085B51363A0C1B1F000A0C4939080A02495A4F0A000D545D5D51592F5E5A2A2C595A505D582F28282C2C5D5E2C28592F51595A585D5A5D4F081D54505F5F512A5D595F2A2D5A2C58582D2D285F585B585E58515E512A2F2F2F2F2F4F1E1D540A50510C585D5B5E59584F0B0054585E5A4F04061B1901000D5408075B0E4F1B0C1F000D54505E505F692D01 Windows Explorer Gefunden: 85.17.166.132/dwn/divx.dll* Datenbanken
Wenige Sekunden später folgte diese Meldung:
Code:
18.12.2008 21:01:23 h**p://85.12.43.75/go/?cmp=csrvldr&affid=171878&uid=9668C406CD3E11DDA612171878CFFFFF&guid=4480F73CE03941FAAEE47EA0F8031434&id=2¶m= Windows Explorer Gefunden: 85.12.43.75/* Datenbanken
Letztere wurde immer wieder, im Abstand von ca. 45 Sekunden geöffnet, bzw. sollte geöffnet werden. Am nächsten Tag kamen andere Adressen vor, diese werden am Ende meines Beitrags chronologisch in einer Liste gepostet. Dabei fällt auf, dass es nicht nur der Explorer versucht hat, sondern auch andere hauseigene Windowsprogramme.
Nun wurde ich um Rat gebeten. Ich lies als erstes den Kaspersky Schnell Anti-Viren Scan laufen. Es gab jede menge Meldungen, so ziemlich jedes Programm ist mit einer "konovozo.dll" & "tezepugi.dll" verseucht. Das gesamte Scan-Log:
Code:
Schnelle Suche: abgeschlossen 20.12.2008 13:18:20 (Ereignis: 130, Objekte: 2471, Zeit: 00:01:46)
18.12.2008 20:49:46 Aufgabe wurde abgeschlossen
18.12.2008 20:49:39 Aufgabe wurde gestartet
Schnelle Suche: abgeschlossen 20.12.2008 13:18:20 (Ereignis: 130, Objekte: 2471, Zeit: 00:01:46)
20.12.2008 13:16:34 Aufgabe wurde gestartet
20.12.2008 13:16:38 Gefunden: HEUR:Trojan.Win32.Generic Opera.exe\konovozo.dll
20.12.2008 13:16:38 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic Opera.exe\konovozo.dll Zurückgestellt
20.12.2008 13:16:40 Gefunden: HEUR:Trojan.Win32.Generic Opera.exe\tezepugi.dll
20.12.2008 13:16:40 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic Opera.exe\tezepugi.dll Zurückgestellt
20.12.2008 13:16:45 Gefunden: HEUR:Trojan.Win32.Generic AnyDVDtray.exe\konovozo.dll
20.12.2008 13:16:45 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic AnyDVDtray.exe\konovozo.dll Zurückgestellt
20.12.2008 13:16:45 Gefunden: HEUR:Trojan.Win32.Generic AnyDVDtray.exe\tezepugi.dll
20.12.2008 13:16:45 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic AnyDVDtray.exe\tezepugi.dll Zurückgestellt
20.12.2008 13:16:46 Gefunden: HEUR:Trojan.Win32.Generic Steam.exe\konovozo.dll
20.12.2008 13:16:46 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic Steam.exe\konovozo.dll Zurückgestellt
20.12.2008 13:16:48 Gefunden: HEUR:Trojan.Win32.Generic Steam.exe\tezepugi.dll
20.12.2008 13:16:48 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic Steam.exe\tezepugi.dll Zurückgestellt
20.12.2008 13:16:52 Gefunden: HEUR:Trojan.Win32.Generic ctfmon.exe\konovozo.dll
20.12.2008 13:16:52 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic ctfmon.exe\konovozo.dll Zurückgestellt
20.12.2008 13:16:52 Gefunden: HEUR:Trojan.Win32.Generic ctfmon.exe\tezepugi.dll
20.12.2008 13:16:52 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic ctfmon.exe\tezepugi.dll Zurückgestellt
20.12.2008 13:16:53 Gefunden: HEUR:Trojan.Win32.Generic iTunesHelper.exe\konovozo.dll
20.12.2008 13:16:53 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic iTunesHelper.exe\konovozo.dll Zurückgestellt
20.12.2008 13:17:00 Gefunden: HEUR:Trojan.Win32.Generic iTunesHelper.exe\tezepugi.dll
20.12.2008 13:17:00 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic iTunesHelper.exe\tezepugi.dll Zurückgestellt
20.12.2008 13:17:08 Gefunden: HEUR:Trojan.Win32.Generic SOUNDMAN.EXE\konovozo.dll
20.12.2008 13:17:08 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic SOUNDMAN.EXE\konovozo.dll Zurückgestellt
20.12.2008 13:17:08 Gefunden: HEUR:Trojan.Win32.Generic SOUNDMAN.EXE\tezepugi.dll
20.12.2008 13:17:08 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic SOUNDMAN.EXE\tezepugi.dll Zurückgestellt
20.12.2008 13:17:09 Gefunden: HEUR:Trojan.Win32.Generic avp.exe\konovozo.dll
20.12.2008 13:17:09 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic avp.exe\konovozo.dll Zurückgestellt
20.12.2008 13:17:13 Gefunden: HEUR:Trojan.Win32.Generic Explorer.EXE\konovozo.dll
20.12.2008 13:17:13 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic Explorer.EXE\konovozo.dll Zurückgestellt
20.12.2008 13:17:14 Gefunden: HEUR:Trojan.Win32.Generic C:\WINDOWS\system32\opnmKAPg.dll
20.12.2008 13:17:14 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic C:\WINDOWS\system32\opnmKAPg.dll Zurückgestellt
20.12.2008 13:17:18 Gefunden: HEUR:Trojan.Win32.Generic Explorer.EXE\tezepugi.dll
20.12.2008 13:17:18 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic Explorer.EXE\tezepugi.dll Zurückgestellt
20.12.2008 13:17:20 Gefunden: HEUR:Trojan.Win32.Generic iPodService.exe\konovozo.dll
20.12.2008 13:17:20 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic iPodService.exe\konovozo.dll Zurückgestellt
20.12.2008 13:17:21 Gefunden: HEUR:Trojan.Win32.Generic alg.exe\konovozo.dll
20.12.2008 13:17:21 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic alg.exe\konovozo.dll Zurückgestellt
20.12.2008 13:17:23 Gefunden: HEUR:Trojan.Win32.Generic svchost.exe\konovozo.dll
20.12.2008 13:17:23 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic svchost.exe\konovozo.dll Zurückgestellt
20.12.2008 13:17:26 Gefunden: HEUR:Trojan.Win32.Generic StarWindServiceAE.exe\konovozo.dll
20.12.2008 13:17:26 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic StarWindServiceAE.exe\konovozo.dll Zurückgestellt
20.12.2008 13:17:27 Gefunden: HEUR:Trojan.Win32.Generic svchost.exe\konovozo.dll
20.12.2008 13:17:27 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic svchost.exe\konovozo.dll Zurückgestellt
20.12.2008 13:17:27 Gefunden: HEUR:Trojan.Win32.Generic svchost.exe\konovozo.dll
20.12.2008 13:17:27 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic svchost.exe\konovozo.dll Zurückgestellt
20.12.2008 13:17:27 Gefunden: HEUR:Trojan.Win32.Generic mDNSResponder.exe\konovozo.dll
20.12.2008 13:17:27 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic mDNSResponder.exe\konovozo.dll Zurückgestellt
20.12.2008 13:17:27 Gefunden: HEUR:Trojan.Win32.Generic AppleMobileDeviceService.exe\konovozo.dll
20.12.2008 13:17:27 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic AppleMobileDeviceService.exe\konovozo.dll Zurückgestellt
20.12.2008 13:17:27 Gefunden: HEUR:Trojan.Win32.Generic spoolsv.exe\konovozo.dll
20.12.2008 13:17:27 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic spoolsv.exe\konovozo.dll Zurückgestellt
20.12.2008 13:17:28 Gefunden: HEUR:Trojan.Win32.Generic svchost.exe\konovozo.dll
20.12.2008 13:17:28 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic svchost.exe\konovozo.dll Zurückgestellt
20.12.2008 13:17:29 Gefunden: HEUR:Trojan.Win32.Generic svchost.exe\konovozo.dll
20.12.2008 13:17:29 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic svchost.exe\konovozo.dll Zurückgestellt
20.12.2008 13:17:35 Gefunden: HEUR:Trojan.Win32.Generic svchost.exe\konovozo.dll
20.12.2008 13:17:35 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic svchost.exe\konovozo.dll Zurückgestellt
20.12.2008 13:17:35 Gefunden: HEUR:Trojan.Win32.Generic svchost.exe\konovozo.dll
20.12.2008 13:17:35 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic svchost.exe\konovozo.dll Zurückgestellt
20.12.2008 13:17:37 Gefunden: HEUR:Trojan.Win32.Generic lsass.exe\konovozo.dll
20.12.2008 13:17:37 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic lsass.exe\konovozo.dll Zurückgestellt
20.12.2008 13:17:37 Gefunden: HEUR:Trojan.Win32.Generic services.exe\konovozo.dll
20.12.2008 13:17:37 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic services.exe\konovozo.dll Zurückgestellt
20.12.2008 13:17:38 Gefunden: HEUR:Trojan.Win32.Generic winlogon.exe\konovozo.dll
20.12.2008 13:17:38 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic winlogon.exe\konovozo.dll Zurückgestellt
20.12.2008 13:17:47 Gefunden: HEUR:Trojan.Win32.Generic C:\WINDOWS\system32\opnmKAPg.dll
20.12.2008 13:17:47 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic C:\WINDOWS\system32\opnmKAPg.dll Zurückgestellt
20.12.2008 13:18:16 Gefunden: HEUR:Trojan.Win32.Generic C:\WINDOWS\system32\opnmKAPg.dll
20.12.2008 13:18:16 Gelöscht: HEUR:Trojan.Win32.Generic HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\opnmKAPg\opnmKAPg
20.12.2008 13:18:17 Desinfiziert: HEUR:Trojan.Win32.Generic HKCR\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c}\InprocServer32
20.12.2008 13:18:17 Gelöscht: HEUR:Trojan.Win32.Generic HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}
20.12.2008 13:18:18 Wird beim Neustart nach Quarantäne verschoben: HEUR:Trojan.Win32.Generic C:\WINDOWS\system32\opnmKAPg.dll
20.12.2008 13:18:19 Verschieben nach Quarantäne unmöglich: HEUR:Trojan.Win32.Generic C:\WINDOWS\system32\opnmKAPg.dll
20.12.2008 13:18:19 Gefunden: HEUR:Trojan.Win32.Generic services.exe\konovozo.dll
20.12.2008 13:18:19 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic services.exe\konovozo.dll Vom Benutzer übersprungen
20.12.2008 13:18:19 Gefunden: HEUR:Trojan.Win32.Generic lsass.exe\konovozo.dll
20.12.2008 13:18:19 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic lsass.exe\konovozo.dll Vom Benutzer übersprungen
20.12.2008 13:18:19 Gefunden: HEUR:Trojan.Win32.Generic StarWindServiceAE.exe\konovozo.dll
20.12.2008 13:18:19 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic StarWindServiceAE.exe\konovozo.dll Vom Benutzer übersprungen
20.12.2008 13:18:19 Gefunden: HEUR:Trojan.Win32.Generic svchost.exe\konovozo.dll
20.12.2008 13:18:19 Gelöscht: HEUR:Trojan.Win32.Generic svchost.exe\konovozo.dll
20.12.2008 13:18:19 Gefunden: HEUR:Trojan.Win32.Generic AppleMobileDeviceService.exe\konovozo.dll
20.12.2008 13:18:19 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic AppleMobileDeviceService.exe\konovozo.dll Vom Benutzer übersprungen
20.12.2008 13:18:19 Gefunden: HEUR:Trojan.Win32.Generic Steam.exe\konovozo.dll
20.12.2008 13:18:19 Gelöscht: HEUR:Trojan.Win32.Generic Steam.exe\konovozo.dll
20.12.2008 13:18:19 Gefunden: HEUR:Trojan.Win32.Generic Steam.exe\tezepugi.dll
20.12.2008 13:18:19 Erstellen von Sicherungskopie unmöglich: HEUR:Trojan.Win32.Generic Steam.exe\tezepugi.dll
20.12.2008 13:18:19 Gefunden: HEUR:Trojan.Win32.Generic avp.exe\konovozo.dll
20.12.2008 13:18:19 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic avp.exe\konovozo.dll Vom Benutzer übersprungen
20.12.2008 13:18:19 Gefunden: HEUR:Trojan.Win32.Generic spoolsv.exe\konovozo.dll
20.12.2008 13:18:19 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic spoolsv.exe\konovozo.dll Vom Benutzer übersprungen
20.12.2008 13:18:19 Gefunden: HEUR:Trojan.Win32.Generic svchost.exe\konovozo.dll
20.12.2008 13:18:19 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic svchost.exe\konovozo.dll Vom Benutzer übersprungen
20.12.2008 13:18:19 Gefunden: HEUR:Trojan.Win32.Generic Explorer.EXE\konovozo.dll
20.12.2008 13:18:19 Gelöscht: HEUR:Trojan.Win32.Generic Explorer.EXE\konovozo.dll
20.12.2008 13:18:19 Gefunden: HEUR:Trojan.Win32.Generic Explorer.EXE\tezepugi.dll
20.12.2008 13:18:19 Gelöscht: HEUR:Trojan.Win32.Generic Explorer.EXE\tezepugi.dll
20.12.2008 13:18:19 Gefunden: HEUR:Trojan.Win32.Generic iTunesHelper.exe\konovozo.dll
20.12.2008 13:18:19 Gelöscht: HEUR:Trojan.Win32.Generic iTunesHelper.exe\konovozo.dll
20.12.2008 13:18:20 Gefunden: HEUR:Trojan.Win32.Generic iTunesHelper.exe\tezepugi.dll
20.12.2008 13:18:20 Gelöscht: HEUR:Trojan.Win32.Generic iTunesHelper.exe\tezepugi.dll
20.12.2008 13:18:20 Gefunden: HEUR:Trojan.Win32.Generic ctfmon.exe\konovozo.dll
20.12.2008 13:18:20 Gelöscht: HEUR:Trojan.Win32.Generic ctfmon.exe\konovozo.dll
20.12.2008 13:18:20 Gefunden: HEUR:Trojan.Win32.Generic ctfmon.exe\tezepugi.dll
20.12.2008 13:18:20 Erstellen von Sicherungskopie unmöglich: HEUR:Trojan.Win32.Generic ctfmon.exe\tezepugi.dll
20.12.2008 13:18:20 Gefunden: HEUR:Trojan.Win32.Generic SOUNDMAN.EXE\konovozo.dll
20.12.2008 13:18:20 Gelöscht: HEUR:Trojan.Win32.Generic SOUNDMAN.EXE\konovozo.dll
20.12.2008 13:18:20 Gefunden: HEUR:Trojan.Win32.Generic alg.exe\konovozo.dll
20.12.2008 13:18:20 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic alg.exe\konovozo.dll Vom Benutzer übersprungen
20.12.2008 13:18:20 Gefunden: HEUR:Trojan.Win32.Generic svchost.exe\konovozo.dll
20.12.2008 13:18:20 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic svchost.exe\konovozo.dll Vom Benutzer übersprungen
20.12.2008 13:18:20 Gefunden: HEUR:Trojan.Win32.Generic mDNSResponder.exe\konovozo.dll
20.12.2008 13:18:20 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic mDNSResponder.exe\konovozo.dll Vom Benutzer übersprungen
20.12.2008 13:18:20 Gefunden: HEUR:Trojan.Win32.Generic svchost.exe\konovozo.dll
20.12.2008 13:18:20 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic svchost.exe\konovozo.dll Vom Benutzer übersprungen
20.12.2008 13:18:20 Gefunden: HEUR:Trojan.Win32.Generic winlogon.exe\konovozo.dll
20.12.2008 13:18:20 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic winlogon.exe\konovozo.dll Vom Benutzer übersprungen
20.12.2008 13:18:20 Gefunden: HEUR:Trojan.Win32.Generic iPodService.exe\konovozo.dll
20.12.2008 13:18:20 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic iPodService.exe\konovozo.dll Vom Benutzer übersprungen
20.12.2008 13:18:20 Gefunden: HEUR:Trojan.Win32.Generic svchost.exe\konovozo.dll
20.12.2008 13:18:20 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic svchost.exe\konovozo.dll Vom Benutzer übersprungen
20.12.2008 13:18:20 Gefunden: HEUR:Trojan.Win32.Generic svchost.exe\konovozo.dll
20.12.2008 13:18:20 Nicht desinfizierte Objekte: HEUR:Trojan.Win32.Generic svchost.exe\konovozo.dll Vom Benutzer übersprungen
20.12.2008 13:18:20 Gefunden: HEUR:Trojan.Win32.Generic svchost.exe\konovozo.dll
20.12.2008 13:18:20 Gelöscht: HEUR:Trojan.Win32.Generic svchost.exe\konovozo.dll
20.12.2008 13:18:20 Gefunden: HEUR:Trojan.Win32.Generic AnyDVDtray.exe\konovozo.dll
20.12.2008 13:18:20 Gelöscht: HEUR:Trojan.Win32.Generic AnyDVDtray.exe\konovozo.dll
20.12.2008 13:18:20 Gefunden: HEUR:Trojan.Win32.Generic AnyDVDtray.exe\tezepugi.dll
20.12.2008 13:18:20 Gelöscht: HEUR:Trojan.Win32.Generic AnyDVDtray.exe\tezepugi.dll
20.12.2008 13:18:20 Aufgabe wurde abgeschlossen
Nun ja... viel weiter bin ich noch nicht. Der Computer wird bestimmt immer noch verseucht sein. Hier noch das HJT-Log:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:24:41, on 20.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Kaspersky Internet Security 2009\avp.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Steam\Steam.exe
C:\Programme\AnyDVD\AnyDVDtray.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: flashget2 urlcatch - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - C:\Programme\FlashGet\ComDlls\bhoCATCH.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {96e912c8-563d-4f75-bedd-fe3657d7fde8} - C:\WINDOWS\system32\nidozopi.dll
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [nohaziloki] Rundll32.exe "C:\WINDOWS\system32\tezepugi.dll",s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Programme\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [AnyDVD] C:\Programme\AnyDVD\AnyDVDtray.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [nohaziloki] Rundll32.exe "C:\WINDOWS\system32\tezepugi.dll",s (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O8 - Extra context menu item: &Download All by FlashGet - C:\Programme\FlashGet\ComDlls\Bhoall.htm
O8 - Extra context menu item: &Download by FlashGet - C:\Programme\FlashGet\ComDlls\Bholink.htm
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Internet Security 2009\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware workstation\vsocklib.dll
O10 - Unknown file in Winsock LSP: c:\programme\vmware\vmware workstation\vsocklib.dll
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\kloehk.dll,C:\WINDOWS\system32\konovozo.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: VMware Agent Service (ufad-ws60) - VMware, Inc. - C:\Programme\VMware\VMware Workstation\vmware-ufad.exe
--
End of file - 6400 bytes
Zu den IP-Adressen und dem Virenname, habe ich keine brauchbaren Informationen gefunden. Ich hoffe ihr könnte mir zu weiteren Schritten raten.
Liebe Grüße,
xiu
PS: Mir fällt gerade auf, dass ich keine XP-Updates ausführen kann. Wenn sich trotz Aktivierung der dafür notwendigen Dienste nichts tut, wirds hier noch nachgetragen.
PPS: Der "Automatisches Update"-Dienst war deaktiviert, "wichtige" Updates wurden auch nach aktivierung nicht gefunden.
Anhang: Einige Adressen, mit denen sich der Explorer verbinden wollte. (Doppelte Adressen werden nicht aufgeführt. Wie vorher erwähnt, alle 45-60 Sek. ein Verbindungsaufbau)
Code:
18.12.2008 21:01:05 h**p://85.17.166.132/dwn/divx.dll?sid=445450594F080F0F000D54585E58515E514F1F545B365C365836085B51363A0C1B1F000A0C4939080A02495A4F0A000D545D5D51592F5E5A2A2C595A505D582F28282C2C5D5E2C28592F51595A585D5A5D4F081D54505F5F512A5D595F2A2D5A2C58582D2D285F585B585E58515E512A2F2F2F2F2F4F1E1D540A50510C585D5B5E59584F0B0054585E5A4F04061B1901000D5408075B0E4F1B0C1F000D54505E505F692D01 Windows Explorer Gefunden: 85.17.166.132/dwn/divx.dll* Datenbanken
18.12.2008 21:21:08 h**p://85.12.43.75/go/?cmp=csrvldr&affid=171878&uid=9668C406CD3E11DDA612171878CFFFFF&guid=4480F73CE03941FAAEE47EA0F8031434&id=2¶m= Windows Explorer Gefunden: 85.12.43.75/* Datenbanken
19.12.2008 22:05:21 h**p://77.74.48.105/dl/3tde2mi.dll.html?cuid=0daa0492f1a6cb418902ba1b7cd8f144&suid=ba183120ce1011dd8e8100304890471a&affid=169170&tid=txd11728&morph_id=226&cver=226&os_ver=261 Windows Explorer Gefunden: 77.74.48.105/* Datenbanken
19.12.2008 22:05:21 h**p://77.74.48.105/dl/900nb1wvn.dll.html?cuid=0daa0492f1a6cb418902ba1b7cd8f144&suid=ba183120ce1011dd8e8100304890471a&affid=169170&tid=txd11728&morph_id=226&cver=226&os_ver=261 Windows Explorer Gefunden: 77.74.48.105/* Datenbanken
19.12.2008 22:05:21 h**p://77.74.48.105/dl/q6laf4l6.dll.html?cuid=0daa0492f1a6cb418902ba1b7cd8f144&suid=ba183120ce1011dd8e8100304890471a&affid=169170&tid=txd11728&morph_id=226&cver=226&os_ver=261 Windows Explorer Verboten: 77.74.48.105/* Datenbanken
19.12.2008 22:05:25 h**p://77.74.48.105/dl/900nb1wvn.dll.html?cuid=0daa0492f1a6cb418902ba1b7cd8f144&suid=ba183120ce1011dd8e8100304890471a&affid=169170&tid=txd11728&morph_id=226&cver=226&os_ver=261 Internet Explorer Verboten: 77.74.48.105/* Datenbanken
20.12.2008 11:09:10 h**p://77.74.48.105/dl/9dide0j7.dll.html?cuid=0daa0492f1a6cb418902ba1b7cd8f144&suid=ba183120ce1011dd8e8100304890471a&affid=169170&tid=txd11728&morph_id=226&cver=226&os_ver=261 Windows NT-Anmeldung Verboten: 77.74.48.105/* Datenbanken
20.12.2008 11:09:10 h**p://77.74.48.105/dl/cyns1vp7.dll.html?cuid=0daa0492f1a6cb418902ba1b7cd8f144&suid=ba183120ce1011dd8e8100304890471a&affid=169170&tid=txd11728&morph_id=226&cver=226&os_ver=261 Windows NT-Anmeldung Verboten: 77.74.48.105/* Datenbanken
