Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   TR/PCK.Klone.G.20 (https://www.trojaner-board.de/31146-tr-pck-klone-g-20-a.html)

FaTD 05.08.2006 17:47

TR/PCK.Klone.G.20
 
Hallo,

bin neu hier und natürlich auch gleich ein Problem.

Bei jedem Start (wenn der desktop erschienen ist und windows alles geladen hat, kann etwas dauern) meldet AntiVir sofort denn Trojaner TR/PCK.Klone.G.20 immer in der Datei C:/Windows/system32/winubg32.dll .
Diese Datei lösche ich dann auch sofort (kommt aber eh immer wieder). AntiVir findet bei einem Systemscan nichts, Spybot auch nich und Ad-Aware SE fängt immer damit an den Windowsordner zuscannen(noch is alles ok), aber sobald es einige dateien scannt (aber bei diese dateien nichts findet) kommt die gleiche Warnung wieder. Es sind zwar noch mehr Dateien, aber diese konnte ich noch mitkriegen bevor die Meldung kam:

WgaLogon.dll - C:\WINDOWS\system32
WinSpool.drv - ?

Habe auch schon HiJack drüber laufen lassen und bei Hijack this ausgewertet.
Hat zwar nich sonderlich viel geholfen, aber ich zeige ihn euch mal:

Logfile of HijackThis v1.99.1
Scan saved at 18:04:11, on 05.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Gemeinsame Dateien\{E02EC58C-08A3-1031-1201-050721050031}\Update.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Alcatel\SpeedTouch USB\dragdiag.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Fabian\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.1.0.69.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdat...b?1126452590406
O17 - HKLM\System\CCS\Services\Tcpip\..\{7933472A-BD75-45F5-BAC7-FDEDBE4E2D2F}: NameServer = 205.188.146.145
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: app_filter - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe (file missing)
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe (file missing)
O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Danke euch schonmal und hoffe auf schnelle Hilfe!

Sunny 05.08.2006 17:56

Hallo FaTD,

dein Logfile sieht meiner Ansicht nach auch clean aus.
Versuch doch mal folgendes, lass die Datei ->C:/Windows/system32/winubg32.dll<- mal bei Virustotal auswerten.
Poste anschliessend das Ergebnis. (einfach alles markieren, kopieren, und in deinen Beitrag reinsetzen..)

Gruß
Sunny

nochdigger 05.08.2006 18:02

mOIn auch,
was ist mit dem hier ?
C:\Programme\Gemeinsame Dateien\{E02EC58C-08A3-1031-1201-050721050031}\Update.exe
ist vermutlich dieser Trojan.Starter 65 o.ä. lass in mitüberprüfen
MFG

Sunny 05.08.2006 18:03

Zitat:

Zitat von nochdigger
mOIn auch,
was ist mit dem hier ?
C:\Programme\Gemeinsame Dateien\{E02EC58C-08A3-1031-1201-050721050031}\Update.exe
ist vermutlich dieser Trojan.Starter 65 o.ä. lass in mitüberprüfen
MFG

Meines Wissens gehört dieser Eintrag zu T-Online ;)

FaTD 05.08.2006 18:06

Ich kenn mich zwar nich so aus, aber das heißt wohl nichts gutes:heulen: :) :

Complete scanning result of "winubg32.dll", received in VirusTotal at 08.05.2006, 18:59:35 (CET).

Antivirus Version Update Result
AntiVir 6.35.1.0 08.05.2006 TR/PCK.Klone.G.20
Authentium 4.93.8 08.04.2006 W32/Trojan.IID
Avast 4.7.844.0 08.04.2006 Win32:Klone-N
AVG 386 08.04.2006 Generic.YIG
BitDefender 7.2 08.05.2006 Trojan.Klone.D
CAT-QuickHeal 8.00 08.04.2006 no virus found
ClamAV devel-20060426 08.04.2006 Trojan.Agent-527
DrWeb 4.33 08.05.2006 Trojan.Mezzia
eTrust-InoculateIT 23.72.87 08.04.2006 Win32/Nebuler.4ii!DLL!Trojan
eTrust-Vet 12.6.2324 08.04.2006 Win32/Nebuler.J
Ewido 4.0 08.05.2006 no virus found
Fortinet 2.77.0.0 08.05.2006 W32/Klone.G
F-Prot 3.16f 08.04.2006 destructive program named W32/Trojan.IID
F-Prot4 4.2.1.29 08.04.2006 W32/Trojan.IID
Ikarus 0.2.65.0 08.04.2006 no virus found
Kaspersky 4.0.2.24 08.05.2006 Packed.Win32.Klone.g
McAfee 4822 08.04.2006 BackDoor-CVT
Microsoft 1.1508 08.04.2006 no virus found
NOD32v2 1.1693 08.05.2006 no virus found
Norman 5.90.23 08.04.2006 W32/Agent.AGIA
Panda 9.0.0.4 08.05.2006 Adware/SuperSpider
Sophos 4.08.0 08.05.2006 Troj/Agent-CIK
Symantec 8.0 08.05.2006 Trojan Horse
TheHacker 5.9.8.186 08.04.2006 no virus found
UNA 1.83 08.04.2006 no virus found
VBA32 3.11.0 08.04.2006 Trojan.Mezzia
VirusBuster 4.3.7:9 08.05.2006 Trojan.Agent.DTF

Aditional Information
File size: 18944 bytes
MD5: 10dc4e8c75890df8f6f72cfd0ceb5c52
SHA1: 69cc4be61fcdfbb5c1c2ad2a13658df5d965ec9b

FaTD 05.08.2006 18:08

Zu der T-Online Sache (ich bin bei AOL :D ) und wollte das wenn ich die positionen von den anderen Trojanern/Virusen etc. weiß im abgesicherten Modus mitlöschen.

Aber trotzdem danke!:daumenhoc

[EDIT]: Sorry für Doppelpost, bin momentan wohl zu aufgeregt :D

nochdigger 05.08.2006 18:11

mOIn nochma
t-online ? hm, vielen Dank :daumenhoc für deine Info hab mir in den letzten 2 Tagen nach dem Sch...ding die Finger wund getippt und keine Infos im Net finden können.
@ FaTD dann brauchst du die Update.exe nicht prüfen lassen
MFG

Sunny 05.08.2006 18:11

Bei dem was ich über den Trojaner gefunden habe, gibt es wohl noch die Möglichkeit einer Bereinigung. Führe aber vorab enen eScan durch, Anleitung in meiner Signatur verlinkt.
Poste das Ergebnis mit Hilfe der "find.bat", ist alles ganz genau beschrieben ;)

Gruß
Sunny

FaTD 05.08.2006 22:54

Hat zwar ewig gedauert, aber hier ist es endlich:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Aug 05 19:38:02 2006 => System found infected with wareout Adware (1.dat)! Action taken: No Action Taken.
Sat Aug 05 19:38:02 2006 => System found infected with wareout Adware (2.dat)! Action taken: No Action Taken.
Sat Aug 05 19:38:02 2006 => System found infected with wareout Adware (3.dat)! Action taken: No Action Taken.
Sat Aug 05 19:38:03 2006 => System found infected with wareout Adware (1.dat)! Action taken: No Action Taken.
Sat Aug 05 19:38:03 2006 => System found infected with wareout Adware (2.dat)! Action taken: No Action Taken.
Sat Aug 05 19:38:03 2006 => System found infected with wareout Adware (3.dat)! Action taken: No Action Taken.
Sat Aug 05 19:38:07 2006 => System found infected with conhook.y Trojan (C:\WINDOWS\system32\awvvu.dll)! Action taken: No Action Taken.
Sat Aug 05 19:38:04 2006 => Object "smitfraud Browser Hijacker" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Sat Aug 05 19:36:42 2006 => File C:\WINDOWS\system32\winubg32.dll infected by "Packed.Win32.Klone.g" Virus! Action Taken: No Action Taken.
Sat Aug 05 19:36:57 2006 => File C:\WINDOWS\system32\winubg32.dll infected by "Packed.Win32.Klone.g" Virus! Action Taken: No Action Taken.
Sat Aug 05 19:40:30 2006 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DownloadAcceleratorPlus.zip infected by "Password-protected-EXE" Virus! Action Taken: No Action Taken.
Sat Aug 05 19:40:40 2006 => File C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\DownloadAcceleratorPlus73.zip infected by "Password-protected-EXE" Virus! Action Taken: No Action Taken.
Sat Aug 05 23:17:40 2006 => File C:\WINDOWS\system32\winubg32.dll infected by "Packed.Win32.Klone.g" Virus! Action Taken: No Action Taken.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Sat Aug 05 19:38:02 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\1.dat
Sat Aug 05 19:38:02 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\2.dat
Sat Aug 05 19:38:02 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\3.dat
Sat Aug 05 19:38:03 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\1.dat
Sat Aug 05 19:38:03 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\2.dat
Sat Aug 05 19:38:03 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\3.dat
Sat Aug 05 19:38:07 2006 => Offending file found: C:\WINDOWS\system32\awvvu.dll
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Sat Aug 05 19:36:41 2006 => File C:\WINDOWS\system32\awvvu.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.da". Action Taken: No Action Taken.
Sat Aug 05 19:36:53 2006 => File C:\WINDOWS\system32\awvvu.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.da". Action Taken: No Action Taken.
Sat Aug 05 19:36:57 2006 => File C:\WINDOWS\system32\awvvu.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.da". Action Taken: No Action Taken.
Sat Aug 05 23:13:39 2006 => File C:\WINDOWS\system32\awvvu.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.da". Action Taken: No Action Taken.
Sat Aug 05 23:17:09 2006 => File C:\WINDOWS\system32\rqrqnkh.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.by". Action Taken: No Action Taken.
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Sat Aug 05 19:38:04 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\aol\c_aol 9.0\idb\bart\1024
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sat Aug 05 23:18:15 2006 => Total Errors: 584
Sat Aug 05 23:18:15 2006 => Time Elapsed: 03:41:12
Sat Aug 05 23:18:15 2006 => Total Objects Scanned: 199025
Sat Aug 05 19:27:06 2006 => Virus Database Date: 8/5/2006
Sat Aug 05 19:31:03 2006 => Virus Database Date: 8/5/2006
Sat Aug 05 19:35:57 2006 => Virus Database Date: 8/5/2006
Sat Aug 05 23:18:15 2006 => Virus Database Date: 8/5/2006
Sat Aug 05 23:18:40 2006 => Virus Database Date: 8/5/2006
Sat Aug 05 23:32:15 2006 => Virus Database Date: 8/5/2006
Sat Aug 05 23:36:24 2006 => Virus Database Date: 8/5/2006
Sat Aug 05 23:36:55 2006 => Virus Database Date: 8/5/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Wildone 05.08.2006 23:25

Hallo,
gehe mal die beiden Anleitungen durch, und poste danach die nötigen Logfiles.

Anleitung1
Anleitung2

Und zu der Update.exe kannst du mal einen Link posten das die zu T-Online gehört, ich habe da so meine Zweifel, vielleicht sollte die Datei doch mal untersucht werden, schaden kann es ja nicht.


Grüße Wildone

FaTD 05.08.2006 23:37

Ich werde mir die Anleitungen gleich mal anschauen, danke!

Ich hab diese T-Online info von Hijackthis.de.

Bild:
http://img227.imageshack.us/img227/8...kom3cb1.th.jpg

[EDIT]:
Sry, für die Quali, aber ich musste das Bild verkleinern und Imageshack verschlechtert die Quali ja auch automatisch.

Achja ist es normal so viele Fehler zu haben(immerhin 584)?

Wildone 05.08.2006 23:47

Hallo,
naja, mit der Anlayse von Dateien ist die Onlineauswertung jetzt alles andere als zuverläßig, und wenn du kein T-Online hast spricht diese Tatsache ja auch sehr dagegen, beende mal den Prozess(Update.exe) im Taskmanager und überprüfe die Datei hier.

Zitat:

Achja ist es normal so viele Fehler zu haben(immerhin 584)?
Ja, ist normal, kann man durch Registrybereinigungsprogramme beheben, muss man aber nicht.


Grüße Wildone

FaTD 05.08.2006 23:52

Ich wollte die Datei ja sowieso demnächst löschen, aber bei dem Scanning wurde kein Virus o.ä. gefunden:

omplete scanning result of "Update.exe", received in VirusTotal at 08.06.2006, 00:49:54 (CET).

Antivirus Version Update Result
AntiVir 6.35.1.0 08.05.2006 no virus found
Authentium 4.93.8 08.04.2006 no virus found
Avast 4.7.844.0 08.04.2006 no virus found
AVG 386 08.05.2006 no virus found
BitDefender 7.2 08.06.2006 no virus found
CAT-QuickHeal 8.00 08.04.2006 no virus found
ClamAV devel-20060426 08.05.2006 no virus found
DrWeb 4.33 08.05.2006 no virus found
eTrust-InoculateIT 23.72.87 08.04.2006 no virus found
eTrust-Vet 12.6.2324 08.04.2006 no virus found
Ewido 4.0 08.05.2006 no virus found
Fortinet 2.77.0.0 08.05.2006 no virus found
F-Prot 3.16f 08.04.2006 no virus found
F-Prot4 4.2.1.29 08.04.2006 no virus found
Ikarus 0.2.65.0 08.04.2006 no virus found
Kaspersky 4.0.2.24 08.06.2006 no virus found
McAfee 4822 08.04.2006 no virus found
Microsoft 1.1508 08.04.2006 no virus found
NOD32v2 1.1694 08.05.2006 no virus found
Norman 5.90.23 08.04.2006 no virus found
Panda 9.0.0.4 08.05.2006 no virus found
Sophos 4.08.0 08.05.2006 no virus found
Symantec 8.0 08.05.2006 no virus found
TheHacker 5.9.8.186 08.04.2006 no virus found
UNA 1.83 08.04.2006 no virus found
VBA32 3.11.0 08.04.2006 no virus found
VirusBuster 4.3.7:9 08.05.2006 no virus found

Aditional Information
File size: 102400 bytes
MD5: a6eb35030f45299067a3a45e9dc7ec89
SHA1: 03b788cfaed1edc1142866eff1758a24c4082574


Zu der Sache mit Regeinträgen, kannst du mir vielleicht ein gutes (am besten auch idiotensichersprogramm, will mir schließlich nich Windows damit zerschiesen) Programm für sowas empfehlen?

Wildone 06.08.2006 00:00

Hallo,
dann sollte wohl die Update.exe doch in Ordnung sein, auch wenn ich sie immernoch nicht einordnen kann.

Zitat:

Zu der Sache mit Regeinträgen, kannst du mir vielleicht ein gutes (am besten auch idiotensichersprogramm, will mir schließlich nich Windows damit zerschiesen) Programm für sowas empfehlen?
Genau deswegen habe ich es nicht gemacht, es gibt kein idiotensicheres Programm, und letzten Endes gibt es immer die (relativ unwahrscheinliche) Möglichkeit sich bei Registrybereinigen mit solchen Tools etwas zu zerschießen. Ich verwende Regseeker, wenn du es verwenden solltest achte darauf den Haken bei Backup zu setzen.



Grüße Wildone

FaTD 06.08.2006 00:05

Danke für die ganzen Tipps und Hilfen!

Hatte schon Angst ich müsste das ganze System neuaufsetzten(was schwierig ist da ich nicht genügend Platz zum auslagern wichtiger dateien habe).

Ich denke ich werde dann wohl heut Nacht mein System mal soweit es geht säubern!

Nochmal Vielen Dank!:aplaus: :daumenhoc

Wildone 06.08.2006 00:14

Hallo,
Zitat:

Hatte schon Angst ich müsste das ganze System neuaufsetzten
Es gibt schlechtere Ideen bei dieser Art von Infektionen als neu aufsetzen ;)

Zitat:

Ich denke ich werde dann wohl heut Nacht mein System mal soweit es geht säubern!
Mach mal, aber vergiß nicht danach die Logs zu posten, die kann sich dann jemand anderes anschauen, werde sehr wahrscheinlich dann nicht mehr online sein.


Grüße Wildone

FaTD 06.08.2006 13:07

Hallo,

mittlerweile weiß ich nicht mehr was ich machen soll(wird ein laaaanger post):

Ich habe also im abgesicherten Modus VundoFix gestartet - Hat nichts gefunden.
(Log):


VundoFix V5.1.6

Checking Java version...

Sun Java not detected
Scan started at 01:51:24 06.08.2006

Listing files found while scanning....

No infected files were found.


VundoFix V5.1.6

Checking Java version...

Sun Java not detected
Scan started at 09:47:37 06.08.2006

Listing files found while scanning....

No infected files were found.



Danach kam Virtmundobegone dran hat was gefunden und gelöscht
(Log):

[08/06/2006, 1:53:35] - VirtumundoBeGone v1.5 ( "C:\Dokumente und Einstellungen\Fabian\Desktop\VirtumundoBeGone.exe" )
[08/06/2006, 1:53:44] - Detected System Information:
[08/06/2006, 1:53:44] - Windows Version: 5.1.2600, Service Pack 2
[08/06/2006, 1:53:44] - Current Username: Fabian (Admin)
[08/06/2006, 1:53:44] - Windows is in SAFE mode with Networking.
[08/06/2006, 1:53:44] - Searching for Browser Helper Objects:
[08/06/2006, 1:53:44] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[08/06/2006, 1:53:44] - BHO 2: {222D74B2-8AC6-4332-8A05-C57DA689D1BA} ()
[08/06/2006, 1:53:44] - WARNING: BHO has no default name. Checking for Winlogon reference.
[08/06/2006, 1:53:44] - Checking for HKLM\...\Winlogon\Notify\awvvu
[08/06/2006, 1:53:44] - Found: HKLM\...\Winlogon\Notify\awvvu - This is probably Virtumundo.
[08/06/2006, 1:53:44] - Assigning {222D74B2-8AC6-4332-8A05-C57DA689D1BA} MSEvents Object
[08/06/2006, 1:53:44] - BHO list has been changed! Starting over...
[08/06/2006, 1:53:44] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[08/06/2006, 1:53:44] - BHO 2: {222D74B2-8AC6-4332-8A05-C57DA689D1BA} (MSEvents Object)
[08/06/2006, 1:53:44] - ALERT: Found MSEvents Object!
[08/06/2006, 1:53:44] - BHO 3: {53707962-6F74-2D53-2644-206D7942484F} ()
[08/06/2006, 1:53:44] - WARNING: BHO has no default name. Checking for Winlogon reference.
[08/06/2006, 1:53:44] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[08/06/2006, 1:53:44] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[08/06/2006, 1:53:44] - Finished Searching Browser Helper Objects
[08/06/2006, 1:53:44] - *** Detected MSEvents Object
[08/06/2006, 1:53:44] - Trying to remove MSEvents Object...
[08/06/2006, 1:53:45] - Terminating Process: IEXPLORE.EXE
[08/06/2006, 1:53:45] - Terminating Process: RUNDLL32.EXE
[08/06/2006, 1:53:45] - Disabling Automatic Shell Restart
[08/06/2006, 1:53:45] - Terminating Process: EXPLORER.EXE
[08/06/2006, 1:53:45] - Suspending the NT Session Manager System Service
[08/06/2006, 1:53:46] - Terminating Windows NT Logon/Logoff Manager
[08/06/2006, 1:53:46] - Re-enabling Automatic Shell Restart
[08/06/2006, 1:53:46] - File to disable: C:\WINDOWS\system32\awvvu.dll
[08/06/2006, 1:53:46] - Renaming C:\WINDOWS\system32\awvvu.dll -> C:\WINDOWS\system32\awvvu.dll.vir
[08/06/2006, 1:53:46] - File successfully renamed!
[08/06/2006, 1:53:46] - Removing HKLM\...\Browser Helper Objects\{222D74B2-8AC6-4332-8A05-C57DA689D1BA}
[08/06/2006, 1:53:46] - Removing HKCR\CLSID\{222D74B2-8AC6-4332-8A05-C57DA689D1BA}
[08/06/2006, 1:53:46] - Adding Kill Bit for ActiveX for GUID: {222D74B2-8AC6-4332-8A05-C57DA689D1BA}
[08/06/2006, 1:53:46] - Deleting ATLEvents/MSEvents Registry entries
[08/06/2006, 1:53:46] - Removing HKLM\...\Winlogon\Notify\awvvu
[08/06/2006, 1:53:46] - Searching for Browser Helper Objects:
[08/06/2006, 1:53:46] - BHO 1: {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (AcroIEHlprObj Class)
[08/06/2006, 1:53:46] - BHO 2: {53707962-6F74-2D53-2644-206D7942484F} ()
[08/06/2006, 1:53:46] - WARNING: BHO has no default name. Checking for Winlogon reference.
[08/06/2006, 1:53:46] - Checking for HKLM\...\Winlogon\Notify\SDHelper
[08/06/2006, 1:53:46] - Key not found: HKLM\...\Winlogon\Notify\SDHelper, continuing.
[08/06/2006, 1:53:46] - Finished Searching Browser Helper Objects
[08/06/2006, 1:53:46] - Finishing up...
[08/06/2006, 1:53:46] - A restart is needed.
[08/06/2006, 1:53:55] - Attempting to Restart via STOP error (Blue Screen!)




Die Smit-Sachen habe ich zwar nach Anleitung ausgeführt (hat aber soweit ich's mitbekommen habe nichts geholfen)
(Log):

smitRem © log file
version 3.1

by noahdfear


Microsoft Windows XP [Version 5.1.2600]
"IE"="6.0000"

Running from
C:\Dokumente und Einstellungen\Fabian\Desktop\Virusbek„mpfung\SmitRem\smitRem

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run SharedTask Export

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key


PSGuard.com key not present!


checking for WinHound.com key


WinHound.com key not present!


checking for drsmartload2 key


drsmartload2 key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
SpywareStrike uninstaller NOT present
AlfaCleaner uninstaller NOT present
SpyFalcon uninstaller NOT present
SpywareQuake uninstaller NOT present
SpywareSheriff uninstaller NOT present
Trust Cleaner uninstaller NOT present
SpyHeal uninstaller NOT present

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~

amcompat.tlb
nscompat.tlb
logfiles


~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~




~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1184 'explorer.exe'

Starting registry repairs

Registry repairs complete

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

SharedTask Export after registry fix

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Deleting files

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Remaining Post-run Files


~~~ Program Files ~~~



~~~ Shortcuts ~~~



~~~ Favorites ~~~



~~~ system32 folder ~~~



~~~ Icons in System32 ~~~



~~~ Windows directory ~~~



~~~ Drive root ~~~


~~~ Miscellaneous Files/folders ~~~


~~~ Wininet.dll ~~~

CLEAN! :)




Nachdem ich bei dem eScan log gesehen habe das bei Spybot einige Viruse in Quarantäne sind habe ich diese, nur um sicher zugehen, auch gelöscht.

Achja, diese T-Online zeug hab ich gleich mitgelöscht.

Heute morgen habe ich dann nochmal einen eScan gemacht(waren auch weniger Fehler und Funde)
(Log):

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Aug 06 09:50:54 2006 => System found infected with wareout Adware (1.dat)! Action taken: No Action Taken.
Sun Aug 06 09:50:54 2006 => System found infected with wareout Adware (2.dat)! Action taken: No Action Taken.
Sun Aug 06 09:50:54 2006 => System found infected with wareout Adware (3.dat)! Action taken: No Action Taken.
Sun Aug 06 09:50:54 2006 => System found infected with wareout Adware (1.dat)! Action taken: No Action Taken.
Sun Aug 06 09:50:54 2006 => System found infected with wareout Adware (2.dat)! Action taken: No Action Taken.
Sun Aug 06 09:50:54 2006 => System found infected with wareout Adware (3.dat)! Action taken: No Action Taken.
Sun Aug 06 09:50:54 2006 => Object "smitfraud Browser Hijacker" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Sun Aug 06 09:50:22 2006 => File C:\WINDOWS\system32\winubg32.dll infected by "Packed.Win32.Klone.g" Virus! Action Taken: No Action Taken.
Sun Aug 06 09:50:34 2006 => File C:\WINDOWS\system32\winubg32.dll infected by "Packed.Win32.Klone.g" Virus! Action Taken: No Action Taken.
Sun Aug 06 13:25:37 2006 => File C:\WINDOWS\system32\winubg32.dll infected by "Packed.Win32.Klone.g" Virus! Action Taken: No Action Taken.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Sun Aug 06 09:50:54 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\1.dat
Sun Aug 06 09:50:54 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\2.dat
Sun Aug 06 09:50:54 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\3.dat
Sun Aug 06 09:50:54 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\1.dat
Sun Aug 06 09:50:54 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\2.dat
Sun Aug 06 09:50:54 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\3.dat
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Sun Aug 06 13:21:37 2006 => File C:\WINDOWS\system32\awvvu.dll.vir tagged as "not-a-virus:AdWare.Win32.Virtumonde.da". Action Taken: No Action Taken.
Sun Aug 06 13:25:06 2006 => File C:\WINDOWS\system32\rqrqnkh.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.by". Action Taken: No Action Taken.
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Sun Aug 06 09:50:54 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\aol\c_aol 9.0\idb\bart\1024
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Aug 06 13:26:01 2006 => Total Errors: 417
Sun Aug 06 13:26:01 2006 => Time Elapsed: 03:35:24
Sun Aug 06 13:26:01 2006 => Total Objects Scanned: 198272
Sun Aug 06 09:50:05 2006 => Virus Database Date: 8/5/2006
Sun Aug 06 13:26:01 2006 => Virus Database Date: 8/5/2006
Sun Aug 06 13:26:05 2006 => Virus Database Date: 8/5/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~



Seit ich jetzt im Internet bin kriege ich von AntiVir wieder Meldungen.
(Datei-Fundort-Art):

wlzip32[1].exe - C:/Dokumente und Einstellungen..... - TR/Dldr.Agent.arr
11[1].exe - C:/Dokumente und Einstellungen..... - TR/Drop.Zylob.VY.11
win46D.tmp - C:/Windows/temp - TR/Drop.Zylob.VY.11
wind32[1].exe - C:/Dokumente und Einstellungen..... - TR/Dldr.VB.abm.7
win472.tmp - C:/Windows/Temp - TR/dldr.VB.abm.7



Ich glaube das wenn ich die Datei die unter anderem winubg32.dll immer wieder herstellt finde, das ganze aufhören sollte.


Danke euch allen nochmal und hoffe ihr habt auch weiterhin Lösungen parat. :daumenhoc


[EDT]:

Hier nochmal ein neues HiJack Log(kann vielleicht noch zusätzliche Infos geben):


Logfile of HijackThis v1.99.1
Scan saved at 14:44:53, on 06.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Alcatel\SpeedTouch USB\dragdiag.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Gemeinsame Dateien\{E02EC58C-08A3-1031-1201-050721050031}\Update.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\Dokumente und Einstellungen\Fabian\Desktop\HijackThis.exe

O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - h**p://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.1.0.69.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126452590406
O17 - HKLM\System\CCS\Services\Tcpip\..\{7933472A-BD75-45F5-BAC7-FDEDBE4E2D2F}: NameServer = 205.188.146.145
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: app_filter - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe (file missing)
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe (file missing)
O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe




[EDIT2]:

Habe jetzt das HiJackLog File bei HiJackthis.de auswerten lassen und die 2 bösen Einträge gelöscht:
O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{7933472A-BD75-45F5-BAC7-FDEDBE4E2D2F}: NameServer = 205.188.146.145

Wildone 06.08.2006 14:05

Hallo,
Zitat:

[EDIT2]:

Habe jetzt das HiJackLog File bei HiJackthis.de auswerten lassen und die 2 bösen Einträge gelöscht:
O3 - Toolbar: ToolBar888 - {CBCC61FA-0221-4ccc-B409-CEE865CACA3A} - C:\Programme\ToolBar888\MyToolBar.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{7933472A-BD75-45F5-BAC7-FDEDBE4E2D2F}: NameServer = 205.188.146.145
das war mal purer Aktionismus, den O17 Eintrag kannst du gleich wieder zurück spielen, den ich nehme mal an das AOL dein Provider ist.
Wenn wir dir nicht explizit sagen, dass du etwas fixen sollst, dann machst du es nicht, die automatische Auswertung ist mehr als fehlerhaft.

Bevor wir die Reinigung richtig angehen, kannst du nochmal die vier Logfiles der Datfind.bat posten, aber nur die Dateien der letzten vier Wochen abkopieren!



Grüße Wildone

FaTD 06.08.2006 14:09

Zitat:

Zitat von Wildone
Hallo,

das war mal purer Aktionismus, den O17 Eintrag kannst du gleich wieder zurück spielen, den ich nehme mal an das AOL dein Provider ist.
Wenn wir dir nicht explizit sagen, dass du etwas fixen sollst, dann machst du es nicht, die automatische Auswertung ist mehr als fehlerhaft.

Sry, hab sowas wie panik bekommen :o


datfind.bat kommt gleich


[EDIT]:

Dann wunderst mich auch nicht mehr das Google,ebay und amazon bei Firefox nich mehr gingen. :o

[EDIT2]:

system32.txt:

06.08.2006 15:11 495.949 aycdd.ini
06.08.2006 14:01 495.536 aycdd.bak1
06.08.2006 14:01 573.492 ddcya.dll
06.08.2006 13:44 40.973 ddccaxx.dll
06.08.2006 13:41 1.374 wpa.dbl
06.08.2006 13:41 48.883 vsconfig.xml
06.08.2006 13:40 62.201 nvapps.xml
06.08.2006 13:40 182.166 OODBS.lor
06.08.2006 01:53 501.186 uvvwa.ini
05.08.2006 10:06 143 mcrh.tmp
04.08.2006 23:08 496.171 uvvwa.bak2
03.08.2006 20:00 228.800 FNTCACHE.DAT
03.08.2006 08:50 410.481 uvvwa.bak1
03.08.2006 08:50 573.492 awvvu.dll.vir
03.08.2006 06:47 40.973 rqrqnkh.dll
03.08.2006 06:47 18.944 winubg32.dll
03.08.2006 06:43 4.704 KGyGaAvL.sys
03.08.2006 06:39 104 6718A16F9A.sys
31.07.2006 20:21 4.212 zllictbl.dat
12.07.2006 14:19 75.194 perfc007.dat
12.07.2006 14:19 401.200 perfh009.dat
12.07.2006 14:19 415.800 perfh007.dat
12.07.2006 14:19 62.480 perfc009.dat
12.07.2006 14:18 966.250 PerfStringBackup.INI
09.07.2006 13:42 392.824 vsdatant.sys
09.07.2006 13:42 83.960 zlcomm.dll
09.07.2006 13:42 71.672 zlcommdb.dll
09.07.2006 13:42 59.384 vswmi.dll
09.07.2006 13:42 100.344 vsxml.dll
09.07.2006 13:42 71.672 vsregexp.dll
09.07.2006 13:42 440.312 vsutil.dll
09.07.2006 13:42 268.280 vspubapi.dll
09.07.2006 13:42 104.440 vsmonapi.dll
09.07.2006 13:42 157.688 vsinit.dll
09.07.2006 13:42 83.960 vsdata.dll
07.07.2006 03:21 6.757.792 MRT.exe
06.07.2006 21:31 262.144 wrap_oal.dll
06.07.2006 21:31 86.016 OpenAL32.dll

systemtemp.txt:

Datentr„ger in Laufwerk C: ist Maxtor 6L160M0 - Win XP
Volumeseriennummer: E02E-C58C

Verzeichnis von C:\DOKUME~1\Fabian\LOKALE~1\Temp

06.08.2006 15:07 4 PMShared
01.01.1970 02:00 5.863 vttvjqhy.ABI
2 Datei(en) 5.867 Bytes
0 Verzeichnis(se), 14.293.037.056 Bytes frei

system.txt:

06.08.2006 15:07 133 win.ini
06.08.2006 13:42 1.372.794 WindowsUpdate.log
06.08.2006 13:41 0 0.log
06.08.2006 13:41 159 wiadebug.log
06.08.2006 13:41 50 wiaservc.log
06.08.2006 13:40 2.048 bootstat.dat
06.08.2006 09:50 50 Lic.xxx
06.08.2006 09:45 178.182 setupact.log
06.08.2006 09:27 3.829.686 ntbtlog.txt
06.08.2006 01:59 32.536 SchedLgU.Txt
05.08.2006 23:38 69 NeroDigital.ini
05.08.2006 23:27 54.156 QTFont.qfn
05.08.2006 17:12 0 system.ini
04.08.2006 12:57 787.224 setupapi.log
04.08.2006 11:24 1.409 QTFont.for
03.08.2006 06:46 341 beatbox.INI
03.08.2006 06:44 32.418 FontData.fdb
03.08.2006 01:28 0 musicmaker.INI
03.08.2006 01:14 182.446 wmsetup.log
30.07.2006 02:17 433.967 DirectX.log
12.07.2006 13:24 234.107 tsoc.log
12.07.2006 13:24 11.796 KB917159.log
12.07.2006 13:24 23.536 ocmsn.log
12.07.2006 13:24 94.341 iis6.log
12.07.2006 13:24 102.075 ntdtcsetup.log
12.07.2006 13:24 1.374 imsins.log
12.07.2006 13:24 169.842 comsetup.log
12.07.2006 13:24 30.376 msgsocm.log
12.07.2006 13:24 305.331 ocgen.log
12.07.2006 13:24 597.567 FaxSetup.log
12.07.2006 13:24 12.309 KB914388.log
12.07.2006 13:24 1.374 imsins.BAK
12.07.2006 13:24 42.460 updspapi.log
12.07.2006 13:24 10.257 KB916595.log
08.07.2006 11:12 37 TemplateWizard.INI
07.07.2006 17:18 754 WORDPAD.INI
03.07.2006 14:42 356.864 TrueCrypt Setup.exe

sys:

06.08.2006 15:16 0 sys.txt
06.08.2006 15:14 13.505 system.txt
06.08.2006 15:13 350 systemtemp.txt
06.08.2006 15:11 112.517 system32.txt
06.08.2006 13:42 3.478 eScan_neu.txt
06.08.2006 13:40 1.610.072.064 pagefile.sys
06.08.2006 13:26 0 23990098.$$$
06.08.2006 13:26 7 AVPCallback.log
06.08.2006 09:49 372 VundoFix.txt
06.08.2006 09:46 1.069 rapport.txt
06.08.2006 02:13 3.494 smitfiles.txt
05.08.2006 23:50 4.888 eScan_neu_alt01.txt
05.08.2006 17:12 211 boot.ini
15.07.2006 15:53 77 FilterLog.log
08.07.2006 12:32 3.402 s3so.1
08.07.2006 11:48 3.402 s3h4
30.06.2006 19:01 0 error.txt

Wildone 06.08.2006 14:24

Hallo,
Zitat:

Sry, hab sowas wie panik bekommen
Brauchst du nicht, die Sache ist doch einigermaßen im Griff.

besorge dir killbox und lösche folgende Dateien(alle im System32 Ordner) mit der Option "delete on reboot":

06.08.2006 15:11 495.949 aycdd.ini
06.08.2006 14:01 495.536 aycdd.bak1
06.08.2006 14:01 573.492 ddcya.dll
06.08.2006 13:44 40.973 ddccaxx.dll
06.08.2006 01:53 501.186 uvvwa.ini
05.08.2006 10:06 143 mcrh.tmp
04.08.2006 23:08 496.171 uvvwa.bak2
03.08.2006 08:50 410.481 uvvwa.bak1
03.08.2006 08:50 573.492 awvvu.dll.vir
03.08.2006 06:47 40.973 rqrqnkh.dll
03.08.2006 06:47 18.944 winubg32.dll

danach überprüfst du mal folgende Dateien bei virustotal.com und postest das Ergebnis(oder hast du kürzlich DivX installiert?):
03.08.2006 06:43 4.704 KGyGaAvL.sys
03.08.2006 06:39 104 6718A16F9A.sys


Grüße Wildone

FaTD 06.08.2006 14:26

Erstmal danke, werd das gleich machen.

Zitat:

danach überprüfst du mal folgende Dateien bei virustotal.com und postest das Ergebnis(oder hast du kürzlich DivX installiert?):
03.08.2006 06:43 4.704 KGyGaAvL.sys
03.08.2006 06:39 104 6718A16F9A.sys
Hab's schon länger drauf aber die Tage ein Update gemacht.

Wildone 06.08.2006 14:35

dann wird es daher kommen, brauchtst sie also nicht überprüfen.
Ich habe mir gerade erklärt warum die Zeitnähe zur Infektion da ist, ich nehme mal an das du nachdem irgendein Film nicht funktioniert hat erst DivX upgedatet hast, und dann, nachdem es dadurch auch nicht funktioniert hat, dir irgendein angebliches Codec installiert hast, wodurch du dir den ganzen Spass eingefangen hast.


Grüße Wildone

FaTD 06.08.2006 14:40

Ja, weiß es zwar nimma genau :o

Aber ist glaub ich durchaus möglich.


Soll ich jetzt nochma mit eScan nen Test machen, oder so?

Wildone 06.08.2006 14:43

Hallo,
hast du die Dateien schon gelöscht? Escan brauche ich eigentlich nicht mehr. Ein neues HijackThis Log wäre noch ganz gut. Und später noch ein Onlinescan bei Panda(mit dem IE).


Grüße Wildone

FaTD 06.08.2006 14:45

Ja,

hab schon mit killbox restarted.


HiJackLog:

Logfile of HijackThis v1.99.1
Scan saved at 15:44:24, on 06.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Gemeinsame Dateien\{E02EC58C-08A3-1031-1201-050721050031}\Update.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\Alcatel\SpeedTouch USB\dragdiag.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Fabian\Desktop\Virusbekämpfung\HijackThis.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - h**p://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.1.0.69.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126452590406
O17 - HKLM\System\CCS\Services\Tcpip\..\{7933472A-BD75-45F5-BAC7-FDEDBE4E2D2F}: NameServer = 205.188.146.145
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: app_filter - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe (file missing)
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe (file missing)
O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Wildone 06.08.2006 14:49

Hallo,
gut, dann sollte es das eigentlich gewesen sein, lösche mal noch deine Temp Dateien mit Cleanup!, führe danach den Onlinescan durch und poste das Ergebnis.


Grüße Wildone

FaTD 06.08.2006 16:19

Hat zwar was gedauert, aber der Scan hat jetzt doch noch was ergeben(und diesmal werde ich warten bis mir jemand sagt was ich löschen darf und was nich ;) ):

Ereignis Zustand Standort

Spyware:Cookie/Adtech Nicht desinfiziert C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@adtech[1].txt
Spyware:Cookie/Atlas DMT Nicht desinfiziert C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@atdmt[1].txt
Spyware:Cookie/Doubleclick Nicht desinfiziert C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@doubleclick[1].txt
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Dokumente und Einstellungen\Fabian\Desktop\Virusbekämpfung\SmitfraudFix\Process.exe
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Dokumente und Einstellungen\Fabian\Desktop\Virusbekämpfung\SmitfraudFix.zip[SmitfraudFix/Process.exe]
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Dokumente und Einstellungen\Fabian\Desktop\Virusbekämpfung\SmitRem\smitRem\Process.exe
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Dokumente und Einstellungen\Fabian\Desktop\Virusbekämpfung\smitRem.exe[smitRem/Process.exe]
Potenziell unerwünschtes Tool:Application/Processor Nicht desinfiziert C:\Dokumente und Einstellungen\Fabian\Desktop\Virusbekämpfung\VirtumundoBeGone.exe[²ƒÇ]
Adware:Adware/Mytoolbar Nicht desinfiziert C:\Programme\ToolBar888\Activate.exe
Adware:Adware/Mytoolbar Nicht desinfiziert C:\Programme\ToolBar888\MyToolBar.dll
Adware:Adware/DollarRevenue Nicht desinfiziert C:\Programme\ToolBar888\Uninst.exe[²ÜÇ\nsProcess.dll]



Obwohl es wohl bis auf dieses ToolBar 888 "nur" Cookies und Fehlalarme (durch die Entfernungstools) zu sein scheinen.

Wildone 06.08.2006 16:30

Hallo,
lösche jetzt noch den Ordner C:\Programme\ToolBar888\, dann sollte es das gewesen sein. Überlege dir zukünftig genau aus welchen Quellen du etwas installierst.


Grüße Wildone

Sunny 06.08.2006 16:32

Ich bin zwar nicht "Wildone", würde dir aber trotzdem gerne helfen.. :teufel2:

1.) Lade dir die Killbox, und lösche folgenden Ordner mit der Option "delete on reboot"

Zitat:

C:\Programme\ToolBar888
2.) Scanne dein System mit Ewido und poste anschliessend den Bericht sowie nochmal ein neues Hijacklog.

Gruß
Sunny

EDIT: Huch, Wildone war ja doch da.... Sorry ;)

Wildone 06.08.2006 16:38

Hallo,
Zitat:

EDIT: Huch, Wildone war ja doch da.... Sorry
Brauchst dich nicht entschuldigen, ist ja gut zu wissen das jemand gleich weiter macht wenn ich offline bin.
Und Ewido kann auch nicht schaden.

Grüße Wildone

FaTD 06.08.2006 16:40

Zitat:

Zitat von [Gc]Sunny
...

Sry, war schon am rebooten, bevor ich deinen Beitrag gelesen hab. Hab jetzt Toolbar einfach im abgesicherten Modus gelöscht, hoffe das reicht auch.

Die Logs kommen demnächst.

Und bei mir is jeder der mir helfen will wilkommen :daumenhoc

FaTD 06.08.2006 17:57

Bei mir ist der Edit nich mehr da, naja egal, aufjeden Fall möchte ich jeden Danken der mir geholfen hat! Ich glaube(und hoffe) das mein PC jetzt Virus/Trojaner/Wurm - frei ist. Aber um sicher zu gehen hier noch die 2 Logs.

HiJack:


Logfile of HijackThis v1.99.1
Scan saved at 18:48:19, on 06.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Gemeinsame Dateien\{E02EC58C-08A3-1031-1201-050721050031}\Update.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Alcatel\SpeedTouch USB\dragdiag.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\Programme\ewido anti-spyware 4.0\ewido.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Dokumente und Einstellungen\Fabian\Desktop\Virusbekämpfung\HijackThis.exe

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.1.0.69.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126452590406
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7933472A-BD75-45F5-BAC7-FDEDBE4E2D2F}: NameServer = 205.188.146.145
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: app_filter - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe (file missing)
O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Ewido:

---------------------------------------------------------
ewido anti-spyware - Scan-Bericht
---------------------------------------------------------

+ Erstellt um: 18:47:22 06.08.2006

+ Scan-Ergebnis:



C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@adtech[1].txt -> TrackingCookie.Adtech : Keine Aktion durchgeführt.
:mozilla.32:C:\Dokumente und Einstellungen\Fabian\Anwendungsdaten\Mozilla\Firefox\Profiles\ubznrogi.default\cookies.txt -> TrackingCookie.Atdmt : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@atdmt[1].txt -> TrackingCookie.Atdmt : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@doubleclick[1].txt -> TrackingCookie.Doubleclick : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Fabian\Cookies\fabian@ivwbox[2].txt -> TrackingCookie.Ivwbox : Keine Aktion durchgeführt.


::Berichtende




Also vielen vielen vielen Dank!!!!!:daumenhoc :aplaus: :daumenhoc :aplaus:




[EDIT]:
Jetzt is der Button wieder da!:confused:

Und die Cookies wurden alle gelöscht.

FaTD 06.08.2006 21:18

Hallo ich bin's nochmal,

hab jetzt gerade nur Testweise eScan durchgeführt, dachte eigentlich wäre alles weg, aber als er dann doch bei einer neuen Datei was gefunden hat, hab ich eScan gestoppt und es mal schnell bei VirusTotal testen lassen(Datei befindet sich in C:\Windows\system32):

Complete scanning result of "ddcya.dll", received in VirusTotal at 08.06.2006, 22:12:17 (CET).

Antivirus Version Update Result
AntiVir 6.35.1.0 08.06.2006 no virus found
Authentium 4.93.8 08.06.2006 no virus found
Avast 4.7.844.0 08.04.2006 no virus found
AVG 386 08.05.2006 no virus found
BitDefender 7.2 08.06.2006 no virus found
CAT-QuickHeal 8.00 08.04.2006 no virus found
ClamAV devel-20060426 08.06.2006 no virus found
DrWeb 4.33 08.06.2006 no virus found
eTrust-InoculateIT 23.72.88 08.06.2006 no virus found
eTrust-Vet 12.6.2324 08.04.2006 Win32/Vundo
Ewido 4.0 08.06.2006 no virus found
Fortinet 2.77.0.0 08.06.2006 suspicious
F-Prot 3.16f 08.06.2006 no virus found
F-Prot4 4.2.1.29 08.06.2006 no virus found
Ikarus 0.2.65.0 08.04.2006 no virus found
Kaspersky 4.0.2.24 08.06.2006 not-a-virus:AdWare.Win32.Virtumonde.da
McAfee 4822 08.04.2006 no virus found
Microsoft 1.1508 08.04.2006 no virus found
NOD32v2 1.1694 08.05.2006 no virus found
Norman 5.90.23 08.04.2006 no virus found
Panda 9.0.0.4 08.06.2006 Suspicious file
Sophos 4.08.0 08.06.2006 no virus found
Symantec 8.0 08.06.2006 no virus found
TheHacker 5.9.8.186 08.04.2006 no virus found
UNA 1.83 08.04.2006 no virus found
VBA32 3.11.0 08.06.2006 no virus found
VirusBuster 4.3.7:9 08.06.2006 no virus found

Aditional Information
File size: 573492 bytes
MD5: db58ba6654554ef5eb48a86bbdf32312
SHA1: ac67863abdc2ecf9fd224a3d16927bbd6c309b0d
packers: embedded


Bin am Überlegen es mit Killbox nach nem Reboot zu löschen, was haltet ihr davon?

Mellosun 06.08.2006 21:24

Guten ABend,

mal kurz einmischen tue:

Versuch es mal so . Das ist ne gute Anleitung für Dein Virtumonde!


Gruß Mellosun

FaTD 06.08.2006 21:46

Ich glaube da sind wieder noch mehr verseuchte Dateien dabei, deswegen habe ich auch nochmal datfind.bat laufen lassen, ich poste mal wieder die logs, vielleicht könnte mir dann wieder gesagt werden welche "böse" sind und auf die Art die mir gerade empfohlen wurde gelöscht werden sollen(hab jetzt als Zeitraum nur diesen Tag genommen).

system32:

06.08.2006 22:40 497.997 aycdd.ini
06.08.2006 22:38 1.374 wpa.dbl
06.08.2006 22:38 48.883 vsconfig.xml
06.08.2006 22:37 62.201 nvapps.xml
06.08.2006 22:37 185.076 OODBS.lor
06.08.2006 15:58 2.550 Uninstall.ico
06.08.2006 15:58 1.406 Help.ico
06.08.2006 15:58 30.590 pavas.ico
06.08.2006 15:51 0 asfiles.txt
06.08.2006 14:01 495.536 aycdd.bak1
06.08.2006 14:01 573.492 ddcya.dll

systemtemp:

Datentr„ger in Laufwerk C: ist Maxtor 6L160M0 - Win XP
Volumeseriennummer: E02E-C58C

Verzeichnis von C:\DOKUME~1\Fabian\LOKALE~1\Temp

06.08.2006 22:39 4 PMShared
06.08.2006 20:07 0 aaxB.tmp
06.08.2006 20:05 0 aaxA.tmp
06.08.2006 18:10 16.384 ~DF939.tmp
06.08.2006 18:09 16.384 ~DFD58B.tmp
03.08.2006 03:33 70 3EE68A68.TMP

system:

06.08.2006 22:38 192 win.ini
06.08.2006 22:38 0 0.log
06.08.2006 22:38 1.430.845 WindowsUpdate.log
06.08.2006 22:38 159 wiadebug.log
06.08.2006 22:37 50 wiaservc.log
06.08.2006 22:37 2.048 bootstat.dat
06.08.2006 22:33 4.282.558 ntbtlog.txt
06.08.2006 22:31 32.536 SchedLgU.Txt
06.08.2006 22:05 50 Lic.xxx
06.08.2006 21:41 54.156 QTFont.qfn
06.08.2006 15:58 32 pavsig.txt
06.08.2006 15:48 809.596 setupapi.log
06.08.2006 09:45 178.182 setupact.log

sys:

06.08.2006 22:45 0 sys.txt
06.08.2006 22:45 13.412 system.txt
06.08.2006 22:44 589 systemtemp.txt
06.08.2006 22:40 112.518 system32.txt
06.08.2006 22:37 1.610.072.064 pagefile.sys
06.08.2006 22:36 582 VundoFix.txt
06.08.2006 22:06 3 AVPCallback.log
06.08.2006 13:42 3.478 eScan_neu.txt
06.08.2006 13:26 0 23990098.$$$
06.08.2006 09:46 1.069 rapport.txt
06.08.2006 02:13 3.494 smitfiles.txt


Falls ich wieder überreagieren und es doch nur die schon genannte Datei ist, sry!:o

Wildone 06.08.2006 21:55

Hallo,
nein du reagierst nicht über, das Problem scheint zu sein das es eine neue Variante von Virtualmonde ist, was die Sache langsam wirklich kompliziert macht. Poste mal ein Log von F-Secure Blacklight (wird automatisch in dem selben Pfad erstellt). Außerdem postest du noch ein Log von Silentrunners.

Kannst du nochmal genau beschreiben wie du gemerkt hast das weiterhin etwas nicht in Ordnung ist.


Grüße Wildone

FaTD 06.08.2006 22:00

Die Logs kommen gleich.

Selbst gemerkt habe ich nichts. Habe einfach nur nochmal aus Vorsicht eScan laufen lassen und dann als das "Zeug" wieder in ddcya.dll gefunden wurde, eScan beendet(Rebooted, da ich eScan ja im abgesicherten Modus hab laufen lassen) und dann halt bei VirusTotal getest und hiergepostet.

[EDIT]:

Blacklight hat nichts gefunden:

08/06/06 23:11:48 [Info]: BlackLight Engine 1.0.42 initialized
08/06/06 23:11:48 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/06/06 23:11:48 [Note]: 7019 4
08/06/06 23:11:48 [Note]: 7005 0
08/06/06 23:13:32 [Note]: 7006 0
08/06/06 23:13:32 [Note]: 7011 500
08/06/06 23:13:32 [Note]: 7026 0
08/06/06 23:13:32 [Note]: 7026 0
08/06/06 23:13:33 [Note]: FSRAW library version 1.7.1019
08/06/06 23:17:12 [Note]: 4013 32796
08/06/06 23:17:12 [Note]: 4020 29 65536
08/06/06 23:17:12 [Note]: 4018 29 65536
08/06/06 23:17:42 [Note]: 7007 0

Silent Runners:

"Silent Runners.vbs", revision 46, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\
"{E02EC58C-08A3-1031-1201-050721050031}" = ""C:\Programme\Gemeinsame Dateien\{E02EC58C-08A3-1031-1201-050721050031}\Update.exe" mc-110-12-0000272" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Logitech Utility" = "Logi_MwX.Exe" ["Logitech Inc."]
"NVMixerTray" = ""C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"" ["NVIDIA Corporation"]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RunDLL32.exe NvMCTray.dll,NvTaskbarInit" [MS]
"!ewido" = ""C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized" ["Anti-Malware Development a.s."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\found.004\dir0000.chk\SDHelper.dll" ["Safer Networking Limited"]
{9B971954-C953-4BB0-A0CF-4E8E2A6B1A37}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\ddcya.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{429363AD-512D-4A7A-9C21-E5AACAECEABF}" = "Warsow_dqf_Player"
-> {HKLM...CLSID} = "ShellExt Class"
\InProcServer32\(Default) = "C:\Games\Programme\Warsow\War§owDemosPlayer.dll" [file not found]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {HKLM...CLSID} = "Portable Media Devices"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{e82a2d71-5b2f-43a0-97b8-81be15854de8}" = "ShellLink for Application References"
-> {HKLM...CLSID} = "ShellLink for Application References"
\InProcServer32\(Default) = "C:\WINDOWS\system32\dfshim.dll" [MS]
"{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75}" = "Shell Icon Handler for Application References"
-> {HKLM...CLSID} = "Shell Icon Handler for Application References"
\InProcServer32\(Default) = "C:\WINDOWS\system32\dfshim.dll" [MS]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {HKLM...CLSID} = "Shell Search Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "ewido anti-spyware 4.0"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
\InProcServer32\(Default) = "C:\Programme\ewido anti-spyware 4.0\shellexecutehook.dll" ["Anti-Malware Development a.s."]

HKLM\System\CurrentControlSet\Control\Session Manager\
INFECTION WARNING! "BootExecute" = "autocheck autochk * OODBS" [file not found], [MS], [file not found], [file not found]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! ddcya\DLLName = "C:\WINDOWS\system32\ddcya.dll" [null data]
INFECTION WARNING! WgaLogon\DLLName = "WgaLogon.dll" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\(Default) = "OpenOffice.org Column Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ewido anti-spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Programme\ewido anti-spyware 4.0\context.dll" ["Anti-Malware Development a.s."]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ewido anti-spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Programme\ewido anti-spyware 4.0\context.dll" ["Anti-Malware Development a.s."]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Fabian\Anwendungsdaten\IrfanView\IrfanView_Wallpaper.bmp"


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SYSTEMROOT%\system32\nvappfilter.dll ["NVIDIA"], 01 - 05, 11
%SystemRoot%\system32\mswsock.dll [MS], 06 - 08, 12 - 27
%SystemRoot%\system32\rsvpsp.dll [MS], 09 - 10


Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Real.com"
\InProcServer32\(Default) = "C:\WINDOWS\System32\Shdocvw.dll" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0005-ABCDEFFEDCBC}"
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_05"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll" ["Sun Microsystems, Inc."]

{36ECAF82-3300-8F84-092E-AFF36D6C7040}\
"ButtonText" = "Run WinHTTrack"
"MenuText" = "Launch WinHTTrack"
"CLSIDExtension" = "{86529161-034E-4F8A-88D2-3C625E612E04}"
-> {HKLM...CLSID} = "WinHTTrackLauncher Class"
\InProcServer32\(Default) = "C:\Programme\WinHTTrack\WinHTTrackIEBar.dll" [null data]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\
"ButtonText" = "Real.com"

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Service, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["AVIRA GmbH"]
AntiVir Scheduler, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
AOL Connectivity Service, AOL ACS, ""C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe"" ["America Online, Inc."]
ewido anti-spyware 4.0 guard, ewido anti-spyware 4.0 guard, "C:\Programme\ewido anti-spyware 4.0\guard.exe" ["Anti-Malware Development a.s."]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
O&O Defrag, O&O Defrag, "C:\WINDOWS\system32\oodag.exe" ["O&O Software GmbH"]
SecuROM User Access Service (V7), UserAccess7, "C:\WINDOWS\system32\UAService7.exe" [null data]
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
PDFCreator\Driver = "pdfcmnnt.dll" [null data]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 17 seconds, including 7 seconds for message boxes)

Wildone 06.08.2006 22:32

Hallo,
habe ich fast befürchtet das das Vieh in der Winlogon sitzt:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! ddcya\DLLName = "C:\WINDOWS\system32\ddcya.dll" [null data]

Wie man da genau ohne Spezialtools herankommt bin ich mir nicht sicher (ev. über Processexplorer), versuche mal nochmal eine Entfernung damit(falls ein Log erstellt wird, poste es).
Wenn das nicht funktioniert werde ich mir mal morgen weitere Gedanken darüber machen.
Kam eigentlich eine Fehlermeldung als du versucht hast die Datei mit killbox zu löschen, weil vorgeschlagen habe ich das ja schon:

Zitat:

besorge dir killbox und lösche folgende Dateien(alle im System32 Ordner) mit der Option "delete on reboot":

06.08.2006 15:11 495.949 aycdd.ini
06.08.2006 14:01 495.536 aycdd.bak1
06.08.2006 14:01 573.492 ddcya.dll
06.08.2006 13:44 40.973 ddccaxx.dll
06.08.2006 01:53 501.186 uvvwa.ini

FaTD 06.08.2006 22:37

Hallo,

nee hat, soweit ich das beurteilen kann, alles ohne murren beim reboot gelöscht.

Das Progi von dem Link hab ich schon probiert, hat aber nix geholfen. Log wurde von VundoFix letztes Mal nich erstellt.

Wildone 06.08.2006 22:43

Hallo,
dann versuche mal nochmal die Datei mit killbox mit der Option "delete on reboot" zu löschen und schaue ob sie nach dem Neustart noch da ist, aber besonders viel Hoffnung mache ich mir nicht.


Grüße Wildone

FaTD 06.08.2006 22:50

Hab jetzt versucht die Dateien:

C:\WINDOWS\system32\ddcya.dll
C:\WINDOWS\system32\aycdd.bak1

zuöschen und es und es kam folgende Fehlermeldung:

PendingFileRenameOperationsRegistry Registry Data has been Removed by External Process!

Wildone 06.08.2006 22:54

Hallo,
hmm, dann werde ich mal morgen noch mal genaueres über die Benutzung des Process Explorers nachlesen müssen, heute wird das aber nichts mehr, insofern wünsche ich angenehme Nachtruhe, es sei denn jemand hat noch eine andere Idee.


Grüße Wildone

FaTD 06.08.2006 22:55

Vielen, vielen Dank!

Wünsche auch eine angenehme Nacht!

FaTD 07.08.2006 03:14

Guten Morgen,

das ganze hat mir keine Ruhe gelassen und deswegen habe ich nach dieser Anleitung(h**p://www.hijackthis-forum.de/showpost.php?p=57500&postcount=33), um genau zu sein, die Methode 1 mein System gereinigt(hoffe ich zumindest).

Ich werde nun nochmal in den abgesicherten Modus gehen und mit eScan nach neuen Vertrettern dieses Trojaners Ausschau halten.

Wildone 07.08.2006 09:08

Hallo,
gut gemacht, genau diese Methode hatte ich im Hinterkopf. Poste mal zur Kontrolle nochmal das System32 Log von der Datfind.bat (dieses mal wieder mit den Dateien der letzten vier Wochen). Außerdem nochmal ein Log von Silentrunners.


Grüße Wildone

FaTD 07.08.2006 12:07

Hab gestern dann einen eScan gemacht:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Aug 07 04:57:29 2006 => System found infected with wareout Adware (1.dat)! Action taken: No Action Taken.
Mon Aug 07 04:57:29 2006 => System found infected with wareout Adware (2.dat)! Action taken: No Action Taken.
Mon Aug 07 04:57:29 2006 => System found infected with wareout Adware (3.dat)! Action taken: No Action Taken.
Mon Aug 07 04:57:29 2006 => System found infected with wareout Adware (1.dat)! Action taken: No Action Taken.
Mon Aug 07 04:57:29 2006 => System found infected with wareout Adware (2.dat)! Action taken: No Action Taken.
Mon Aug 07 04:57:29 2006 => System found infected with wareout Adware (3.dat)! Action taken: No Action Taken.
Mon Aug 07 04:57:30 2006 => Object "smitfraud Browser Hijacker" found in File System! Action Taken: No Action Taken.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Mon Aug 07 04:57:29 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\1.dat
Mon Aug 07 04:57:29 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\2.dat
Mon Aug 07 04:57:29 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\anwendungsdaten\hp\digital imaging\cache\3.dat
Mon Aug 07 04:57:29 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\1.dat
Mon Aug 07 04:57:29 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\2.dat
Mon Aug 07 04:57:29 2006 => Offending file found: C:\Dokumente und Einstellungen\Fabian\Lokale Einstellungen\Anwendungsdaten\hp\digital imaging\cache\3.dat
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Mon Aug 07 08:11:25 2006 => File C:\RECYCLER\S-1-5-21-861567501-602162358-839522115-1004\Dc7.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.da". Action Taken: No Action Taken.
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Mon Aug 07 04:57:30 2006 => Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\aol\c_aol 9.0\idb\bart\1024
~~~~~~~~~~~
Registry
~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Aug 07 08:33:02 2006 => Total Errors: 423
Mon Aug 07 08:33:02 2006 => Time Elapsed: 03:35:47
Mon Aug 07 08:33:02 2006 => Total Objects Scanned: 197047
Mon Aug 07 04:56:44 2006 => Virus Database Date: 8/5/2006
Mon Aug 07 08:33:02 2006 => Virus Database Date: 8/5/2006
Mon Aug 07 09:03:12 2006 => Virus Database Date: 8/5/2006
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Wildone 07.08.2006 12:12

Hallo,
gut, die ersten Einträge sind ein Fehlalarm, dieser Eintrag:

Mon Aug 07 04:57:30 2006 => Object "smitfraud Browser Hijacker" found in File System! Action Taken: No Action Taken.

wird ein Rest in der Registry von deiner Infektion sein, ist aber nicht weiter drammatisch, da er sich auf Dateien bezieht die längst gelöscht sind.

Der hier:

Mon Aug 07 08:11:25 2006 => File C:\RECYCLER\S-1-5-21-861567501-602162358-839522115-1004\Dc7.dll tagged as "not-a-virus:AdWare.Win32.Virtumonde.da". Action Taken: No Action Taken.

ist auch kein Problem, schalte die Systemwiederherstellung ab, boote neu und schalte sie wieder ein.

Die Logs von Datfind.bat und Silentrunners hätte ich trotzdem gerne noch, auch wenn alles danach aussieht als ob die Sache erledigt wäre.



Grüße Wildone

nochdigger 07.08.2006 12:12

mOIn
und tschuldigung wenn ich dazwischen fahre aber die
Update.exe
könnte mit diesem Netzfund
http://www.castlecops.com/p804293-Up...requested.html
und mit dem Fund hier das es sich um Vundo handelt decken, oder ?
(ich meine das Vundo im System gefunden wird)
MFG

FaTD 07.08.2006 12:16

k, dann schau ich nochmal

system32:

07.08.2006 13:04 1.374 wpa.dbl
07.08.2006 13:04 48.883 vsconfig.xml
07.08.2006 13:03 62.201 nvapps.xml
07.08.2006 13:03 186.822 OODBS.lor
07.08.2006 04:02 496.915 aycdd.ini
07.08.2006 03:43 143 mcrh.tmp
07.08.2006 02:01 496.417 aycdd.bak2
06.08.2006 15:58 2.550 Uninstall.ico
06.08.2006 15:58 1.406 Help.ico
06.08.2006 15:58 30.590 pavas.ico
06.08.2006 15:51 0 asfiles.txt
06.08.2006 14:01 495.536 aycdd.bak1
03.08.2006 20:00 228.800 FNTCACHE.DAT
03.08.2006 06:43 4.704 KGyGaAvL.sys
03.08.2006 06:39 104 6718A16F9A.sys
31.07.2006 20:21 4.212 zllictbl.dat
12.07.2006 14:19 401.200 perfh009.dat
12.07.2006 14:19 415.800 perfh007.dat
12.07.2006 14:19 62.480 perfc009.dat
12.07.2006 14:19 75.194 perfc007.dat
12.07.2006 14:18 966.250 PerfStringBackup.INI
09.07.2006 13:42 392.824 vsdatant.sys
09.07.2006 13:42 83.960 zlcomm.dll
09.07.2006 13:42 71.672 zlcommdb.dll
09.07.2006 13:42 59.384 vswmi.dll
09.07.2006 13:42 100.344 vsxml.dll
09.07.2006 13:42 440.312 vsutil.dll
09.07.2006 13:42 71.672 vsregexp.dll
09.07.2006 13:42 104.440 vsmonapi.dll
09.07.2006 13:42 157.688 vsinit.dll
09.07.2006 13:42 268.280 vspubapi.dll
09.07.2006 13:42 83.960 vsdata.dll
07.07.2006 03:21 6.757.792 MRT.exe
06.07.2006 21:31 262.144 wrap_oal.dll

systemtemp:

07.08.2006 13:04 4 PMShared
07.08.2006 04:06 16.384 ~DF6CC7.tmp
07.08.2006 03:20 0 aax39.tmp
07.08.2006 02:30 717 control.xml
07.08.2006 01:32 0 aax52.tmp
07.08.2006 01:26 0 aax49.tmp
07.08.2006 01:25 0 aax48.tmp
07.08.2006 01:23 0 aax47.tmp
07.08.2006 01:22 0 aax46.tmp
07.08.2006 01:20 0 aax45.tmp
07.08.2006 00:47 59.769 ~K20065.jpg
07.08.2006 00:45 0 EPSLog.txt
07.08.2006 00:38 59.769 ~K20064.jpg
06.08.2006 20:07 0 aaxB.tmp
06.08.2006 20:05 0 aaxA.tmp
06.08.2006 18:10 16.384 ~DF939.tmp
06.08.2006 18:09 16.384 ~DFD58B.tmp
04.08.2006 05:24 288 EE6F7F28.TMP
03.08.2006 03:33 70 3EE68A68.TMP

system:

Datentr„ger in Laufwerk C: ist Maxtor 6L160M0 - Win XP
Volumeseriennummer: E02E-C58C

Verzeichnis von C:\WINDOWS

07.08.2006 13:04 192 win.ini
07.08.2006 13:04 0 0.log
07.08.2006 13:04 1.451.559 WindowsUpdate.log
07.08.2006 13:04 159 wiadebug.log
07.08.2006 13:03 50 wiaservc.log
07.08.2006 13:03 2.048 bootstat.dat
07.08.2006 04:56 50 Lic.xxx
07.08.2006 04:51 4.585.000 ntbtlog.txt
07.08.2006 04:14 32.536 SchedLgU.Txt
07.08.2006 02:30 184.138 wmsetup.log
07.08.2006 02:27 2.372 KB898549.log
07.08.2006 02:21 54.156 QTFont.qfn
07.08.2006 02:16 69 NeroDigital.ini
07.08.2006 01:59 0 system.ini
06.08.2006 15:58 32 pavsig.txt
06.08.2006 15:48 809.596 setupapi.log
06.08.2006 09:45 178.182 setupact.log
04.08.2006 11:24 1.409 QTFont.for
03.08.2006 06:46 341 beatbox.INI
03.08.2006 06:44 32.418 FontData.fdb
03.08.2006 01:28 0 musicmaker.INI
30.07.2006 02:17 433.967 DirectX.log
12.07.2006 13:24 23.536 ocmsn.log
12.07.2006 13:24 102.075 ntdtcsetup.log
12.07.2006 13:24 1.374 imsins.log
12.07.2006 13:24 169.842 comsetup.log
12.07.2006 13:24 11.796 KB917159.log
12.07.2006 13:24 234.107 tsoc.log
12.07.2006 13:24 94.341 iis6.log
12.07.2006 13:24 305.331 ocgen.log
12.07.2006 13:24 30.376 msgsocm.log
12.07.2006 13:24 597.567 FaxSetup.log
12.07.2006 13:24 12.309 KB914388.log
12.07.2006 13:24 1.374 imsins.BAK
12.07.2006 13:24 42.460 updspapi.log
12.07.2006 13:24 10.257 KB916595.log
08.07.2006 11:12 37 TemplateWizard.INI
07.07.2006 17:18 754 WORDPAD.INI

sys:

Datentr„ger in Laufwerk C: ist Maxtor 6L160M0 - Win XP
Volumeseriennummer: E02E-C58C

Verzeichnis von C:\

07.08.2006 13:15 0 sys.txt
07.08.2006 13:15 13.462 system.txt
07.08.2006 13:14 1.262 systemtemp.txt
07.08.2006 13:13 112.565 system32.txt
07.08.2006 13:05 2.939 eScan_neu.txt
07.08.2006 13:03 1.610.072.064 pagefile.sys
07.08.2006 08:33 0 23990098.$$$
07.08.2006 08:33 7 AVPCallback.log
07.08.2006 01:59 211 boot.ini
06.08.2006 23:40 768 VundoFix.txt
06.08.2006 13:42 3.478 eScan_neu_alt02.txt
06.08.2006 09:46 1.069 rapport.txt
06.08.2006 02:13 3.494 smitfiles.txt
05.08.2006 23:50 4.888 eScan_neu_alt01.txt
15.07.2006 15:53 77 FilterLog.log
08.07.2006 12:32 3.402 s3so.1
08.07.2006 11:48 3.402 s3h4
30.06.2006 19:01 0 error.txt


[EDIT]

Silentrunners:

"Silent Runners.vbs", revision 46, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\
"{E02EC58C-08A3-1031-1201-050721050031}" = ""C:\Programme\Gemeinsame Dateien\{E02EC58C-08A3-1031-1201-050721050031}\Update.exe" mc-110-12-0000272" [null data]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"Logitech Utility" = "Logi_MwX.Exe" ["Logitech Inc."]
"NVMixerTray" = ""C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"" ["NVIDIA Corporation"]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RunDLL32.exe NvMCTray.dll,NvTaskbarInit" [MS]
"!ewido" = ""C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized" ["Anti-Malware Development a.s."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\found.004\dir0000.chk\SDHelper.dll" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."]
"{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player"
-> {HKLM...CLSID} = "RealOne Player Context Menu Class"
\InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{429363AD-512D-4A7A-9C21-E5AACAECEABF}" = "Warsow_dqf_Player"
-> {HKLM...CLSID} = "ShellExt Class"
\InProcServer32\(Default) = "C:\Games\Programme\Warsow\War§owDemosPlayer.dll" [file not found]
"{640167b4-59b0-47a6-b335-a6b3c0695aea}" = "Portable Media Devices"
-> {HKLM...CLSID} = "Portable Media Devices"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}" = "OpenOffice.org Column Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{087B3AE3-E237-4467-B8DB-5A38AB959AC9}" = "OpenOffice.org Infotip Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{3B092F0C-7696-40E3-A80F-68D74DA84210}" = "OpenOffice.org Thumbnail Viewer"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
"{e82a2d71-5b2f-43a0-97b8-81be15854de8}" = "ShellLink for Application References"
-> {HKLM...CLSID} = "ShellLink for Application References"
\InProcServer32\(Default) = "C:\WINDOWS\system32\dfshim.dll" [MS]
"{E37E2028-CE1A-4f42-AF05-6CEABC4E5D75}" = "Shell Icon Handler for Application References"
-> {HKLM...CLSID} = "Shell Icon Handler for Application References"
\InProcServer32\(Default) = "C:\WINDOWS\system32\dfshim.dll" [MS]
"{21569614-B795-46b1-85F4-E737A8DC09AD}" = "Shell Search Band"
-> {HKLM...CLSID} = "Shell Search Band"
\InProcServer32\(Default) = "C:\WINDOWS\system32\browseui.dll" [MS]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! "{57B86673-276A-48B2-BAE7-C6DBB3020EB8}" = "ewido anti-spyware 4.0"
-> {HKLM...CLSID} = "CShellExecuteHookImpl Object"
\InProcServer32\(Default) = "C:\Programme\ewido anti-spyware 4.0\shellexecutehook.dll" ["Anti-Malware Development a.s."]

HKLM\System\CurrentControlSet\Control\Session Manager\
INFECTION WARNING! "BootExecute" = "autocheck autochk * OODBS" [file not found], [MS], [file not found], [file not found]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! WgaLogon\DLLName = "WgaLogon.dll" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{C52AF81D-F7A0-4AAB-8E87-F80A60CCD396}\(Default) = "OpenOffice.org Column Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = ""C:\Programme\OpenOffice.org 2.0\program\shlxthdl.dll"" ["Sun Microsystems, Inc."]
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ewido anti-spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Programme\ewido anti-spyware 4.0\context.dll" ["Anti-Malware Development a.s."]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ewido anti-spyware\(Default) = "{8934FCEF-F5B8-468f-951F-78A921CD3920}"
-> {HKLM...CLSID} = "CContextScan Object"
\InProcServer32\(Default) = "C:\Programme\ewido anti-spyware 4.0\context.dll" ["Anti-Malware Development a.s."]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["H+BEDV Datentechnik GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Active Desktop and Wallpaper:
-----------------------------

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Fabian\Anwendungsdaten\IrfanView\IrfanView_Wallpaper.bmp"


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SYSTEMROOT%\system32\nvappfilter.dll ["NVIDIA"], 01 - 05, 11
%SystemRoot%\system32\mswsock.dll [MS], 06 - 08, 12 - 27
%SystemRoot%\system32\rsvpsp.dll [MS], 09 - 10


Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Real.com"
\InProcServer32\(Default) = "C:\WINDOWS\System32\Shdocvw.dll" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0005-ABCDEFFEDCBC}"
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_05"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll" ["Sun Microsystems, Inc."]

{36ECAF82-3300-8F84-092E-AFF36D6C7040}\
"ButtonText" = "Run WinHTTrack"
"MenuText" = "Launch WinHTTrack"
"CLSIDExtension" = "{86529161-034E-4F8A-88D2-3C625E612E04}"
-> {HKLM...CLSID} = "WinHTTrackLauncher Class"
\InProcServer32\(Default) = "C:\Programme\WinHTTrack\WinHTTrackIEBar.dll" [null data]

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\
"ButtonText" = "Real.com"

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Service, AntiVirService, "C:\Programme\AntiVir PersonalEdition Classic\avguard.exe" ["AVIRA GmbH"]
AntiVir Scheduler, AntiVirScheduler, "C:\Programme\AntiVir PersonalEdition Classic\sched.exe" ["Avira GmbH"]
AOL Connectivity Service, AOL ACS, ""C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe"" ["America Online, Inc."]
ewido anti-spyware 4.0 guard, ewido anti-spyware 4.0 guard, "C:\Programme\ewido anti-spyware 4.0\guard.exe" ["Anti-Malware Development a.s."]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
O&O Defrag, O&O Defrag, "C:\WINDOWS\system32\oodag.exe" ["O&O Software GmbH"]
SecuROM User Access Service (V7), UserAccess7, "C:\WINDOWS\system32\UAService7.exe" [null data]
TrueVector Internet Monitor, vsmon, "C:\WINDOWS\system32\ZoneLabs\vsmon.exe -service" ["Zone Labs, LLC"]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
PDFCreator\Driver = "pdfcmnnt.dll" [null data]


----------
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
use the -supp parameter or answer "No" at the first message box.
---------- (total run time: 18 seconds, including 5 seconds for message boxes)

Wildone 07.08.2006 12:19

Hallo,
@nochdigger
Danke für die Info, war mir doch gleich suspekt, habe mich durch das ERbebnis von Virustotal vom richtigen Weg abbringen lassen.
@FaTD
Poste mal noch ein HijackThis Log, existiert die update.exe bei dir noch? Ist sie aktiv?

Edit
lösche noch folgende Dateien(System32 Ordner):
07.08.2006 04:02 496.915 aycdd.ini
07.08.2006 03:43 143 mcrh.tmp
07.08.2006 02:01 496.417 aycdd.bak2
06.08.2006 14:01 495.536 aycdd.bak1

Silentrunners sieht bis auf die update.exe sauber aus.

Grüße Wildone

FaTD 07.08.2006 12:21

Zitat:

Zitat von Wildone
@FaTD
Poste mal noch ein HijackThis Log, existiert die update.exe bei dir noch? Ist sie aktiv?


Grüße Wildone

HiJackLog:

Logfile of HijackThis v1.99.1
Scan saved at 13:20:12, on 07.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\ewido anti-spyware 4.0\ewido.exe
C:\Programme\Gemeinsame Dateien\{E02EC58C-08A3-1031-1201-050721050031}\Update.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Alcatel\SpeedTouch USB\dragdiag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AOL 9.0\waol.exe
C:\Programme\AOL 9.0\shellmon.exe
C:\Programme\Gemeinsame Dateien\Aol\aoltpspd.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Fabian\Desktop\HJT\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\found.004\dir0000.chk\SDHelper.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - h**p://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.1.0.69.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126452590406
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7933472A-BD75-45F5-BAC7-FDEDBE4E2D2F}: NameServer = 205.188.146.145
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: app_filter - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe (file missing)
O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe




Der Ordner in dem die update.exe und noch eine *.dll Datei waren, hab ich während ich im abgesicherten Modus war gelöscht.

Wildone 07.08.2006 12:27

Hallo,
Zitat:

Der Ordner in dem die update.exe und noch eine *.dll Datei waren, hab ich während ich im abgesicherten Modus war gelöscht.
Irgendwie nicht:
Zitat:

C:\Programme\Gemeinsame Dateien\{E02EC58C-08A3-1031-1201-050721050031}\Update.exe
versuche das ganze nochmal den Ordner mit killbox on reboot zu löschenund poste danach ein weiteres HijackThis Log.


Grüße Wildone

FaTD 07.08.2006 12:30

Das mit Killbox werd ich gleich machen, aber was soll ich machen wenn meine Systemwiederherstellung schon ausgeschaltet ist (hat mich oft genervt, deswegen habe ich die vor einiger Zeit ausgeschaltet)?

Wildone 07.08.2006 12:35

Hallo,
ach ich bin ja doof, die hing gar nicht in der Systemwiederherstellung sondern im Mülleimer, also einfach diesen leeren.


Grüße Wildone

FaTD 07.08.2006 12:35

K, hab ich gemacht.

HiJackLog:

Logfile of HijackThis v1.99.1
Scan saved at 13:33:52, on 07.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\ewido anti-spyware 4.0\ewido.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\UAService7.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Fabian\Desktop\HJT\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\found.004\dir0000.chk\SDHelper.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\nvappfilter.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_2.1.0.69.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1126452590406
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: app_filter - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe (file missing)
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe" -k runservice (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe (file missing)
O23 - Service: ForceWare user log service (nSvcLog) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Unknown owner - C:\WINDOWS\system32\UAService7.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Wildone 07.08.2006 12:40

Hallo,
jetzt sieht es wirklich sauber aus, wenn sich wider Erwarten die update.exe noch mal wiederherstellen sollte meldest du dich nochmal, ansonsten war die Geburt (oder um genau zu sein die Austreibung) ja schwer genug, ich hoffe du hast deine Lektion wie man mit Dateien aus dubiosen Quellen umgeht nun gelernt.


Grüße Wildone

FaTD 07.08.2006 12:43

Ja, hab ich auf jedenfall.

Also danke, danke und danke!:aplaus: :daumenhoc :aplaus: :daumenhoc



Werd eScan zur Sicherheit zwar nochmal laufen lassen aber ich denke/hoffe das es das jetzt war.

FaTD 07.08.2006 12:54

Hallo,

bin's jetzt doch nochmal.:o

Zitat:

Zitat von FaTD
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Aug 07 04:57:29 2006 => System found infected with wareout Adware (1.dat)! Action taken: No Action Taken.
Mon Aug 07 04:57:29 2006 => System found infected with wareout Adware (2.dat)! Action taken: No Action Taken.
Mon Aug 07 04:57:29 2006 => System found infected with wareout Adware (3.dat)! Action taken: No Action Taken.
Mon Aug 07 04:57:29 2006 => System found infected with wareout Adware (1.dat)! Action taken: No Action Taken.
Mon Aug 07 04:57:29 2006 => System found infected with wareout Adware (2.dat)! Action taken: No Action Taken.
Mon Aug 07 04:57:29 2006 => System found infected with wareout Adware (3.dat)! Action taken: No Action Taken.
Mon Aug 07 04:57:30 2006 => Object "smitfraud Browser Hijacker" found in File System! Action Taken: No Action Taken.


Sind das die Fehlalarme von denen du geschrieben hast? Weil die wurden auch jetzt beim eScan gefunden(wenn ja, krieg ich das irgendwie weg?)

Wildone 07.08.2006 13:01

Hallo,
wie schon oben gepostet die ersten fünf sind Fehlalarme, die Dateien gehören zu einem Programm von hp.
Der letzte Eintrag weist wohl auf einen Registryeintrag hin der noch vorhanden ist, leider wird dieser nicht genannt, ist aber nicht so dramatisch, da er ohne die entsprechenden Dateien keinen Schaden anrichten kann.


Grüße Wildone


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:54 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131