Trojaner durch wmf-Lücke, brauche dringend hilfe !
 

bin vorhin versehentlich auf keygen.us gelandet und da hat sich so ein komisches ding bei mir breit gemacht durch ne wmf lücke oder so ähnlich.
ich hab da jetzt das problem dass alle paar minuten ne meldung kommt dass mein pc infiziert sei usw. ( http://www.youtube.com/watch?v=3Iayz2cqA6E )

wenn ich den pc neustarte legt das ding erst richtig los wurde mir gesagt, daher möcht ich das ding loswerden, kann mir jemand sagen wie ich das hinbekomme ?
bin echt aufgeschmissen :heulen:

Hallo,

als erstes immer locker bleiben :daumenhoc

Poste ein aktuelles HijackLog, eine Anleitung dazu ist in meiner Signatur verlinkt. Zusätzlich kannst du danach gleich mal dein System mit eScan kontrollieren. Poste dann anschliessend das Ergebnis der Reportdatei. (beachte den Teil mit: FIND.BAT )

Gruß
Daniel

hier das von hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 16:14:31, on 12/07/2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
C:\Program Files\Razer\CopperHead\razerhid.exe
E:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Program Files\Razer\CopperHead\razertra.exe
C:\Program Files\Razer\CopperHead\razerofa.exe
D:\Program Files\mIRC\mirc.exe
E:\Program Files\ICQLite\ICQLite.exe
C:\Program Files\Skype\Phone\Skype.exe
E:\Program Files\Xfire\Xfire.exe
C:\WINDOWS\system32\ishost.exe
C:\WINDOWS\system32\ismon.exe
C:\Program Files\Common Files\{78BD6790-0A27-1033-0623-05020805002c}\Update.exe
C:\DOCUME~1\n\MYDOCU~1\YMBOLS~1\javaw.exe
C:\Program Files\??sembly\w?wexec.exe
C:\WINDOWS\system32\issearch.exe
C:\WINDOWS\system32\isnotify.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\ipwins\ipwins.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Documents and Settings\n\Local Settings\Temp\HijackThis.exe

R3 - URLSearchHook: (no name) - {7D78C468-0FD5-5173-F2E8-70D5FD74BDC8} - C:\WINDOWS\system32\gdsgofwp.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7D78C468-0FD5-5173-F2E8-70D5FD74BDC8} - C:\WINDOWS\system32\gdsgofwp.dll
O2 - BHO: (no name) - {873eb32d-ae1a-4183-89bd-45a77f761be4} - C:\WINDOWS\system32\ixt0.dll
O2 - BHO: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Program Files\ToolBar888\MyToolBar.dll
O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Program Files\ToolBar888\MyToolBar.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [ICQ Lite] e:\Program Files\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [razer] C:\Program Files\Razer\CopperHead\razerhid.exe
O4 - HKLM\..\Run: [RemoteControl] "e:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [IpWins] C:\Program Files\ipwins\ipwins.exe
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Ooso] "C:\DOCUME~1\n\MYDOCU~1\YMBOLS~1\javaw.exe" -vt yazr
O4 - HKCU\..\Run: [Acw] C:\Program Files\??sembly\w?wexec.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Program Files\ICQLite\ICQLite.exe -trayboot
O4 - Startup: mirc.lnk = D:\Program Files\mIRC\mirc.exe
O4 - Startup: Xfire.lnk = E:\Program Files\Xfire\Xfire.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - e:\Program Files\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - e:\Program Files\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123
O20 - AppInit_DLLs: C:\WINDOWS\system32\dvdplay.dll
O20 - Winlogon Notify: mljkkif - C:\WINDOWS\SYSTEM32\mljkkif.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winzzc32 - C:\WINDOWS\SYSTEM32\winzzc32.dll
O21 - SSODL: cinnamomum - {93ac7c30-3878-4eaa-9420-7977285df5b1} - C:\WINDOWS\system32\pmnqguh.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Program Files\TuneUp Utilities 2006\WinStylerThemeSvc.exe

das ist das hijackthis log, das eScan kommt auch gleich

bei derartigen Einträgen wäre eine Bereinigung nicht nur zu Zeitintensiv, sondern auch (wahrscheinlich!!!) zwecklos:

Purityscan, Adware, usw. usw. Wer weiß was da noch so alles "rumkriecht" im System. Mein Tip wäre in diesem Falle: Neuinstallation!

Sorry
Daniel

:headbang:

Die Lücke ist seit einem halben Jahr gefixt. Warum nicht bei dir?

Ich sehe mindestens eine ZLob-Infektion. Vielleicht hilft http://www.trojaner-board.de/showpost.php?p=218043&postcount=1 weiter, vielleicht hast du aber auch noch mehr auf dem Rechner. Ich an deiner Stelle würde sowieso neu aufsetzen, vermutlich fehlen ja auch noch andere Patches, und darüber kann sich in der Zwischenzeit ja auch alles mögliche installiert haben. Ist dannn erstens wenig sinnvoll, an einem verpfuschten System rumzudoktern, und zweitens viel zu zeitintensiv.

Gruß :daumenhoc
Yopie

Hallo,
nimm Swizzor raus (das was du meinst gehört auch zu Purityscan) und ergänze noch um Zlob und virtualmonde. Gibt es alles in einem Rutsch, langsam werden die Jungs von den Crackseiten so gründlich, das danach nur noch eine Neuinstallation hilft, insofern stimme ich dir voll zu.


Anleitung zur Neuinstallation und anschließendem absichern gibt es hier.

Edit
Grund war wahrscheinlich nicht die wmf Lücke, mittlerweile nutzt der Trojaner (Zlob) auch andere Lücken, oder es wourde der Keygen ausgeführt, dann ist sowieso alles zu spät.



Grüße Wildone

was könnt ich tun um das ganze noch so hinzubiegen dass ich den pc weiterhin benutzen kann ?
also ich möchte das was sich da vorhin bei mir eingerichtet hat entfernen, wie bekomm ich das am besten hin ?

Du kannst dein Backup einspielen. Sonst: Nichts.

Gruß :daumenhoc
Yopie

Ich glaub schon... Ich kenn die Seite auch, wenn ich die öffne, öffnet sich bei mir eine Datei namens "xpl.wmf", mehr passiert nicht (Ich hab alle Win-Updates installiert ;) )

ah meinst du das windows system recovery, wo man alles zu einem früheren zeitpunkt zurück setzt ?

Ist leider nicht möglich, da wurde soviel nachgeladen und installiert das man das nicht mehr entfernen kann.
Als einzige Möglichkeit sehe ich das Formatieren der Systempartition und anschließende Neuaufsetzen.

Edit
Oh, okay dann habe ich mich geirrt, scheint sich wohl auch weiterhin auf diesem Weg fortzupflanzen, jetzt müssen es nur noch die Jungs begreiffen, die auf Crackseiten herumsurfen.

Grüße Wildone

Nein, ich meine ein richtiges Backup deiner Daten und ein Image von deinem sauberen System.

@Kuli: Bei mir (Opera/9.00 (X11; Linux i686; U; de)) öffnet sich da gar nichts bei der Seite. Gut so.

Gruß :daumenhoc
Yopie