Trojaner-Board - Lästiges Problem

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Lästiges Problem - brauche Hilfe (https://www.trojaner-board.de/16441-laestiges-problem-brauche-hilfe.html)

Lästiges Problem - brauche Hilfe

Hallo.
Hab mir gestern mal wieder ein paar Trojaner eingefangen.
Mein Antivir hat sie erkannt, und ich hab erstmal versucht sie zu löschen.
Da sie immer sofort kamen (waren verschieden Trojaner, hatten alle andere Namen), hats mein PC irgendwann nichtmehr gepackt und sich aufgehängt.
Ich hab ihn neu gestartet, und als er hochgefahren war, hatte ich eine "Security Warning" als Desktop Hintergrund, die ihr euch beim Anhang genauer anschaun könnt.
Des weiteren hatten sich in meiner Windows Partition C: 3 Dateien gebildet, eine, von der ich den Namen nichtmehr kenne (q36472 oder so), die sich später als Trojaner entpuppte, durch den ich diesen Hijacker se.dll draufbekam. Die anderen beiden Dateien waren eine Anwendung die "wp" heißt und eine Bitmap die "wp" heißt.
Da die Bitmap mein derzeitiger Desktophintergrund ist, denke ich dass sie und die Anwendung von Windows sind, und hab sie nicht gelöscht (siehe Anhang).

Hab dann im abgesicherten Modus per Hijackthis den Hijacker entfernt, alle se.dll's gelöscht und systemwiederherstellung deaktiviert.

Nach einem reboot fand Antivir nichts mehr, aber dieser blaue Hintergrund mit der "Security Warning" ist immer noch da. Leider kann ich damit gar nix anfangen.
Und seitdem ist auch mein System stark eingeschränkt (kann keine Desktopeinstellungen mehr vornehmen, usw.) und ich weiß nun nichtmehr weiter.

Hier meine Hijackthis Logs:

Logfile of HijackThis v1.99.1
Scan saved at 14:15:54, on 09.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\SSTray.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Installs und Zips\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "D:\programme\quick\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [nForce Tray Options] C:\WINDOWS\System32\SSTray.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ] C:\Programme\ICQ\ICQ.exe -trayboot
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Office\Office\OSA9.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\Office\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Hoffe, ihr könnt mir helfen. Schonmal danke im vorraus.
Moewe

Ach ja ... wp.exe hat sich auch in den Systemstart reingeschrieben, da mein PC aber immer 100% Auslastung hat, wenn ich das an habe, hab ichs deaktiviert. nwiz hab ich auch mal deaktiviert, auch wenn ich nicht so recht weiß wieso ...

nwiz.exe ist der Nvidia Wizard, gehört zur Grafikkarte.

wp.exe könnte malware sein, ich würde die Datein mal mit einem anderen Scanner scannen.

http://www.trojaner-board.de/42731-escan-anleitung.html

Die Fehlermeldung auf deinem Desktop könnte evtl. einfach ein "manipuliertes" Wallpaper sein. Versuch dochmal ein anderes Wallpaper einzurichten.

Hab einen scan mit escan gemacht, und auch ganz viele viren gefunden, aber wp war nicht darunter.

Ich kann kein anderes wallpaper auswählen, das ist unter anderem das, was ich mit "eingeschränkt" meinte (anhang).

Hab das Problem immernoch und weiß echt nichtmehr was ich noch machen soll.

@Moewe
benütze die such funktion des boardes, suche nach smitfraud, gab es schon mal hier
poste folgendes
EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

chaosman

Hallo,

habe gleiches Problem wie Moewe. Als ichs gemerkt habe wollte ich nicht mehr ins Netz und habe selbst "gefummelt". se.dll habe ich händisch wegbekommen, aber wp.exe habe ich gelöscht und jetzt bekomme ich auch keinen anderen Desktop mehr hin. Ist bei mir jetzt schwarz, da ich wp.bmp entfernt habe.

Gibts es schon 'ne Lösung.

@Target
poste ein HJT logfile
direktdownload
anleitung
chaosman

@chaosman,

ich habe durch stümperhaftes löschen in der Registry hoffentlich nicht allzuviel zerstört!

ich poste das logfile
Logfile of HijackThis v1.99.1
Scan saved at 21:31:02, on 2005-04-12
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Network ICE\BlackICE\blackd.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\WINDOWS\Dit.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Network ICE\BlackICE\blackice.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Treiber - Patches - Tools\Patches - Tools\Schutz\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = www.google.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - Global Startup: BlackICE Utility.lnk = ?
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU)
O9 - Extra button: Microsoft AntiSpyware helper - {12743341-A6AD-4224-8EB9-0FA1E9B30099} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {12743341-A6AD-4224-8EB9-0FA1E9B30099} - (no file) (HKCU)
O9 - Extra button: Microsoft AntiSpyware helper - {57F73C44-CBF5-4AA1-82CB-9BB2D5654D4B} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {57F73C44-CBF5-4AA1-82CB-9BB2D5654D4B} - (no file) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O23 - Service: BlackICE - Internet Security Systems, Inc. - C:\Programme\Network ICE\BlackICE\blackd.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: RapApp - Internet Security Systems, Inc. - C:\Programme\Network ICE\BlackICE\rapapp.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

chaosman

@Target
im logfile ist nicht viel zu sehen

diese einträge in den abgesicherten modus fixen mit HJT
O9 - Extra button: MedionShop - {07E3F115-C445-480D-94CB-ECA914A353CE} - http://www.medionshop.de/ (file missing) (HKCU)
O9 - Extra button: Microsoft AntiSpyware helper - {12743341-A6AD-4224-8EB9-0FA1E9B30099} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {12743341-A6AD-4224-8EB9-0FA1E9B30099} - (no file) (HKCU)
O9 - Extra button: Microsoft AntiSpyware helper - {57F73C44-CBF5-4AA1-82CB-9BB2D5654D4B} - (no file) (HKCU)
O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {57F73C44-CBF5-4AA1-82CB-9BB2D5654D4B} - (no file) (HKCU)

neu booten,
lade escan
download
anleitung
EscanErgebnis
Teile uns das Ergebnis des eScan mit: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

chaosman

Sorry für das schicken des files vorhin!

Hier die escan Daten.
Würde sagen nichts zu sehen, die "tagged" Programme kenne ich, das halte ich für OK und die anderen sehen nicht sehr bedrohlich aus. Da ist in der Registry nichts hinter.
Welches sch... Tool kann den das System so ändern, das Reiter bei den Einstellungen verschwinden???

Danke schonmal für's drüber schauen!

Tue Apr 12 22:16:07 2005 => Scanning HKLM\SYSTEM\CurrentControlSet\Services\VxD
Tue Apr 12 22:16:07 2005 => Scanning File C:\WINDOWS\system32\JAVASUP.VXD
Tue Apr 12 22:16:20 2005 => System found infected with SideFind Spyware/Adware ({10e42047-deb9-4535-a118-b3f6ec39b807})! Action taken: No Action Taken.
Tue Apr 12 22:16:20 2005 => File System Found infected by "SideFind Spyware/Adware" Virus. Action Taken: No Action Taken.

Tue Apr 12 22:16:20 2005 => Offending value found in HKLM\Software\Microsoft\Windows\CurrentVersion\policies\ameopt !!!
Tue Apr 12 22:16:20 2005 => System found infected with ameopt Spyware/Adware! Action taken: No Action Taken.
Tue Apr 12 22:16:20 2005 => File System Found infected by "ameopt Spyware/Adware" Virus. Action Taken: No Action Taken.

Tue Apr 12 22:16:21 2005 => Offending Folder C:\PROGRA~1\YOURSI~1 present...
Tue Apr 12 22:16:21 2005 => System found infected with yoursitebar Spyware/Adware! Action taken: No Action Taken.
Tue Apr 12 22:16:21 2005 => File System Found infected by "yoursitebar Spyware/Adware" Virus. Action Taken: No Action Taken.

Tue Apr 12 22:22:36 2005 => File C:\Programme\Gemeinsame Dateien\HI-TECH Software\activate.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Tue Apr 12 22:30:44 2005 => Scanning File C:\Programme\Pinnacle\Studio 8\OEM\hfx46studiosilent.exe
Tue Apr 12 22:30:44 2005 => File C:\Programme\Pinnacle\Studio 8\OEM\hfx46studiosilent.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Tue Apr 12 22:53:13 2005 => Scanning File D:\Treiber - Patches - Tools\Patches - Tools\Scanner\se1200cp132.exe
Tue Apr 12 22:53:13 2005 => File D:\Treiber - Patches - Tools\Patches - Tools\Scanner\se1200cp132.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

So, also ich hab formatiert.
Hab den PC unbedingt wegen der Schule gebraucht, und hatte keine Zeit mehr mich länger mit dem Problem rumzuschlagen.
Das letzte was ich versucht habe war auch das entfernen von wp.exe und wp.bmp.
Dann hab ich noch manuell die Registry per regedit gesäubert, aber hat nix gebracht.
Ich hatte keinen Virus/Wurm/Trojaner mehr drauf, aber ich glaub das System war dauerhaft geschädigt.

mfg Moewe

Gleiches Thema, selber Spruch:

So, habe vielleicht die Lösung, zumindest habe ich meine Reiter und den Desktop wieder...

Liegt an den veränderten Registereinträgen unter
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\

Die Einträge unter Explorer habe ich gelöscht und
die Einträge unter System mit Wert 1 (nicht mehr im DEFAULT!) auch.

Voher bitte ein Backup machen, das ist nämlich keine Garantie, aber wie gesagt klappt´s bei mir wieder...

:huepp: