Trojaner-Board - Komisches explorer.exe -go -c9 -w !

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Komisches explorer.exe -go -c9 -w ! (https://www.trojaner-board.de/8826-komisches-explorer-exe-go-c9-w.html)

Komisches explorer.exe -go -c9 -w !

Logfile of HijackThis v1.98.2
Scan saved at 01:15:01, on 26.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Zone Alarm Pro\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\explorer.exe
C:\Programme\A Squared\a2start.exe
C:\Programme\Softwin\BitDefender Free Edition\bdmcon.exe
C:\Programme\A Squared\a2scan.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\AVPersonal\AVWIN.EXE
C:\Programme\Steam\Steam.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Trillian\trillian.exe
C:\DOKUME~1\SELECT~1\LOKALE~1\Temp\Rar$EX00.406\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hacker-game.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Alarm Pro\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [explorer] C:\WINDOWS\system32\explorer.exe -go -c9 -w
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098729246718
O17 - HKLM\System\CCS\Services\Tcpip\..\{692C3BA3-006D-48C1-B3FB-4E30CCC463A5}: NameServer = 217.237.150.33 217.237.151.161
O17 - HKLM\System\CS1\Services\Tcpip\..\{692C3BA3-006D-48C1-B3FB-4E30CCC463A5}: NameServer = 217.237.150.33 217.237.151.161

Habe vorher mit AdAware SE, CW Shredder, Spybot, X Cleaner und a² laufen lassen und das ein und andere entfernt. Was sagt mir dieser Log nun ???
Bin ich noch in Gefahr ???

GreeTz Selecta

HAB LIEBER NOCHMAL GERESTARTED:

Logfile of HijackThis v1.98.2
Scan saved at 01:22:11, on 26.10.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\Zone Alarm Pro\ZoneAlarm\zlclient.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\explorer.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\DitExp.exe
C:\Dokumente und Einstellungen\Selecta #2\Desktop\Selecta\Executables\Setups\HijackThis.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\system32\ati2sgag.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\ZoneLabs\vsmon.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hacker-game.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Alarm Pro\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [explorer] C:\WINDOWS\system32\explorer.exe -go -c9 -w
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098729246718

Also klärt mich auf ;)

Zuerst einmal musst die Malware identifizieren, die immer noch auf deinem System aktiv ist.
Überprüfe mal folgende Dateien bei http://virusscan.jotti.org/de
und poste das Ergebnis:
C:\WINDOWS\system32\explorer.exe

C:WINDOWS/system32/explorer.exe

File: explorer.exe

Status: POSSIBLY INFECTED/MALWARE (Note: this file was only classified as malware by scanners known to generate more false positives than the average scanner. Do not consider these results definately accurate. Also, because of this, results of this scan will not be recorded in the database.)
Packers detected: None

AntiVir Heuristic/Trojan.Downloader (probable variant) (1.37 seconds taken)
Avast No viruses found (4.58 seconds taken)
BitDefender No viruses found (2.64 seconds taken)
ClamAV Trojan.Downloader.Small-72 (2.82 seconds taken)
Dr.Web No viruses found (4.30 seconds taken)
F-Prot Antivirus No viruses found (0.36 seconds taken)
Kaspersky Anti-Virus No viruses found (4.24 seconds taken)
mks_vir No viruses found (1.67 seconds taken)
NOD32 No viruses found (2.30 seconds taken)
Norman Virus Control No viruses found (3.84 seconds taken)

DRECK !!!

Überprüfe diese beiden Dateien auch noch:
C:\WINDOWS\System32\RunDll32.exe
C:\WINDOWS\System32\rundll32.exe

File: rundll32.exe
Status: OK
Packers detected: None

AntiVir No viruses found (1.68 seconds taken)
Avast No viruses found (4.90 seconds taken)
BitDefender No viruses found (2.70 seconds taken)
ClamAV No viruses found (2.97 seconds taken)
Dr.Web No viruses found (4.67 seconds taken)
F-Prot Antivirus No viruses found (0.50 seconds taken)
Kaspersky Anti-Virus No viruses found (4.23 seconds taken)
mks_vir No viruses found (1.52 seconds taken)
NOD32 No viruses found (2.45 seconds taken)
Norman Virus Control No viruses found (3.16 seconds taken)

Rundll32.exe gibt es nicht (mit großem R)

GreeTz Selecta

Sende die Datei C:WINDOWS/system32/explorer.exe mal zu partytime-germany.ice@web.de
Vermutliche neue Malware.

Anschließend lösche die Datei C:WINDOWS/system32/explorer.exe im abgesicherten Modus.

Bitte versende die Datei zuvor an die angegebene E-Mail-Adresse.
Falls es sich um einen Schädling handelt, erhält jeder AV-Hersteller diese Datei.

Fixe mit HijackThis dies:

O4 - HKLM\..\Run: [explorer] C:\WINDOWS\system32\explorer.exe -go -c9 -w
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)