|
Trojan/Virus/RootKit ... was auch immer, blokiert z.T. Update funktionen Hallo alle zusammen. Bis jetzt bin ich ziemlich verschont gewesen in punkto Viren und Trojaner. Wenn man 'n bischen aufpasst kann man 95% aller potentielle Infekte ja abwehren. Aber einmal den Laptop aus der Hand gegeben und ... Was ich hier habe ist echt ungewöhnlich/merkwürdig. Bis jetzt konnte kein Virenscanner irget etwas finden. Getestet: Antivira, Fprot Mallware + sonstige Trojaner Scanner auch nicht: Lavasoft's Adaware, SuperAntiSpyware, a-squared ... Rootkit revealer (neuste ver.) ebenso nix. Wenn kein Lan anschluß besteht kommt nach einiger Zeit eine Meldung die besagt das der Internet Explorer im offlinemodus arbeiten möchte. Diese Meldung kommt zwei mal hinternander (meistens) Der Internet Explorer wird durch die Firewall eh geblockt. Nur der Firefox darf raus. Mit dem gibts auch keine Probleme. D.h. man kann soweit alle Seiten öffnen. Aber diverse Programme wie Antivira, SuperAntiSpyware & Malwarebytes könenn keine Updates mehr machen weil sie keine Verbindung zu ihren update-servern mehr hinbekommen. Selbst mein Replay-Media-catcher (zum aufzeichnen von FLV-streams) bekommt keine Verbindung mehr. SSH und diverse Videostreamer (pplive, TVants ...) funktionieren einwandfrei ... Die Firewall kanns nicht sein, die hatte ich schon abgeschaltet, neuinstalliert, usw. -> kein Effekt. hier ist der HijackThis Scan: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:35:24, on 26.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\AGRSMMSG.exe C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\bmwebcfg.exe C:\WINDOWS\system32\o2flash.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\svchost.exe C:\Windows\system32\cipcheck.exs C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 200.88.114.166:80 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {06E12C36-760F-4D92-8509-5E5DBF12C423} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {B6566E82-28AD-43FF-9745-8BB7DE743FC1} - C:\WINDOWS\system32\kbdlv32.dll O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file) O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKCU\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVDtray.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: bmnet.dll O10 - Unknown file in Winsock LSP: bmnet.dll O10 - Unknown file in Winsock LSP: bmnet.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124969228453 O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://geduterm01.cmowe.noklab.net/noklab-du/msrdp.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1FE5004A-9EA7-450A-B3AF-C6AC5F6D7779}: NameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{AB4D6A07-58C2-47D9-AFDC-10AD042FC62D}: NameServer = 69.50.176.198,195.225.176.153 O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll O20 - Winlogon Notify: winhoq32 - winhoq32.dll (file missing) |
irgendwie bist du über einen proxy in mexico unterwegs! schonmal nicht gut. poste bitte ein komplettes HiJackthis Log |
Lade dir zuerst die LSPfix.exe herunter und führe sie aus. Bitte noch nichts removen und nicht advanced anklicken. Vorsorglich Winsock fix herunterladen. |
So, die Proxy Einträge sind draußen ... aber daran lags nicht ! Hijackthis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:13:25, on 26.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\AGRSMMSG.exe C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\bmwebcfg.exe C:\WINDOWS\system32\o2flash.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\svchost.exe C:\Windows\system32\cipcheck.exs c:\Program Files\HP\HP Share-to-Web\hpgs2wnf.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 200.88.114.166:80 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file) O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKCU\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVDtray.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: bmnet.dll O10 - Unknown file in Winsock LSP: bmnet.dll O10 - Unknown file in Winsock LSP: bmnet.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124969228453 O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://geduterm01.cmowe.noklab.net/noklab-du/msrdp.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1FE5004A-9EA7-450A-B3AF-C6AC5F6D7779}: NameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{AB4D6A07-58C2-47D9-AFDC-10AD042FC62D}: NameServer = 69.50.176.198,195.225.176.153 O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BLYA - Unknown owner - C:\DOCUME~1\gm093850\LOCALS~1\Temp\BLYA.exe (file missing) O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpc ... mehr gibt's nicht |
so dann fixen wir erstmal O23 - Service: BLYA - Unknown owner - C:\DOCUME~1\gm093850\LOCALS~1\Temp\BLYA.exe (file missing) O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file) was ist mit dieser datei? C:\Windows\system32\cipcheck.exs Diese bitte mal bei Virustotal hochladen und das komplette ergebnis posten. dann gehts hier weiter: Post #3 |
Dominikanische Republik ist nicht Mexiko ;) |
Hi KarlKarl, ich glaub sogar ganz richtig ist Uruguay |
Code: IP address: 200.88.114.166 |
hast recht ist die Dom Rep :-) |
C:\Windows\system32\cipcheck.exs: Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.7.26.0 2008.07.25 - AntiVir 7.8.1.12 2008.07.25 - Authentium 5.1.0.4 2008.07.26 - Avast 4.8.1195.0 2008.07.26 - AVG 8.0.0.130 2008.07.26 - BitDefender 7.2 2008.07.26 - CAT-QuickHeal 9.50 2008.07.25 - ClamAV 0.93.1 2008.07.26 - DrWeb 4.44.0.09170 2008.07.26 - eSafe 7.0.17.0 2008.07.24 - eTrust-Vet 31.6.5983 2008.07.26 - Ewido 4.0 2008.07.26 - F-Prot 4.4.4.56 2008.07.26 - F-Secure 7.60.13501.0 2008.07.26 Suspicious:W32/Miam.3657!Gemini Fortinet 3.14.0.0 2008.07.26 - GData 2.0.7306.1023 2008.07.26 - Ikarus T3.1.1.34.0 2008.07.26 - Kaspersky 7.0.0.125 2008.07.26 - McAfee 5347 2008.07.25 - Microsoft 1.3704 2008.07.26 - NOD32v2 3300 2008.07.25 - Norman 5.80.02 2008.07.25 - Panda 9.0.0.4 2008.07.26 - PCTools 4.4.2.0 2008.07.26 - Prevx1 V2 2008.07.26 - Rising 20.54.52.00 2008.07.26 - Sophos 4.31.0 2008.07.26 - Sunbelt 3.1.1536.1 2008.07.25 - Symantec 10 2008.07.26 - TheHacker 6.2.96.389 2008.07.25 - TrendMicro 8.700.0.1004 2008.07.26 - VBA32 3.12.8.1 2008.07.26 - ViRobot 2008.7.26.1311 2008.07.26 - VirusBuster 4.5.11.0 2008.07.26 - Webwasher-Gateway 6.6.2 2008.07.26 - weitere Informationen File size: 119428 bytes MD5...: 5b47b68ae6b961e3019bb2ada683b9d8 SHA1..: b660ee4ed369f48d0770ec5246065281e0889542 SHA256: 912bdf02d3dc3b2f4de6caf9e94e7b50510c60a934cabe1d651be807da35bbf7 SHA512: 391f09393045eb5c25273886cabc39e6e5efcb8d3d9bf632ae900bbced3ce6b6 18ca53eed8d92b45decc6f584275d2dde8716a3ed88f8a4fc627c0261f2ae451 PEiD..: InstallShield 2000 PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x40edd0 timedatestamp.....: 0x3d668a60 (Fri Aug 23 19:17:52 2002) machinetype.......: 0x14c (I386) ( 4 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x110a6 0x11200 5.87 ae531f7f229b6532f01f7951c56b0f47 .rdata 0x13000 0x15aa 0x1600 5.47 7fd027ea55c0e4fd1fddc928c7a7e47e .data 0x15000 0x67f4 0x3e00 1.78 0cf953e901a3b024511b8e886b028aae .rsrc 0x1c000 0x5f98 0x6000 4.15 668228994bee77fc7dd8eb5bc26377b5 ( 6 imports ) > KERNEL32.dll: SetFilePointer, WideCharToMultiByte, MulDiv, UnmapViewOfFile, SearchPathA, MapViewOfFile, CreateFileMappingA, MultiByteToWideChar, GetLastError, GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, FreeEnvironmentStringsA, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, GetCPInfo, GetACP, GetOEMCP, SetHandleCount, GlobalReAlloc, GetFileType, DeleteCriticalSection, GetCurrentThreadId, GlobalSize, IsDBCSLeadByte, SetLastError, TlsGetValue, HeapDestroy, HeapCreate, VirtualFree, RtlUnwind, GetStringTypeA, GetStringTypeW, InitializeCriticalSection, EnterCriticalSection, LeaveCriticalSection, HeapFree, HeapAlloc, VirtualAlloc, FlushFileBuffers, SetStdHandle, lstrcmpA, LocalLock, LocalUnlock, LocalFree, lstrcatA, lstrcpyA, GetProcAddress, FreeLibrary, GetModuleFileNameA, GetVersionExA, GetProfileStringA, GetPrivateProfileStringA, GetDriveTypeA, GetWindowsDirectoryA, lstrcpynA, GlobalAlloc, GlobalLock, ReadFile, WriteFile, GlobalUnlock, GlobalFree, DosDateTimeToFileTime, LocalFileTimeToFileTime, CreateFileA, SetFileTime, GetDiskFreeSpaceA, LocalAlloc, lstrlenA, Sleep, LoadLibraryA, GetTickCount, CloseHandle, TlsSetValue, TlsAlloc, GetStdHandle, lstrcmpiA > ADVAPI32.dll: RegisterServiceCtrlHandlerA, RegDeleteValueA, RegCreateKeyExA, RegSetValueExA, StartServiceCtrlDispatcherA, RegOpenKeyExA, RegQueryValueExA, RegCloseKey, SetServiceStatus > USER32.dll: SendMessageA, LoadStringA, MsgWaitForMultipleObjects, SetCursor, GetCursor, IsWindowVisible, SetWindowTextA, InvalidateRect, CharUpperA, UpdateWindow, GetParent, GetWindowLongA, GetAsyncKeyState, GetKeyState, CharPrevA, DestroyIcon, SetWindowPos, SetWindowPlacement, GetWindowPlacement, ReleaseDC, GetDC, ValidateRect, FillRect, GetWindowTextA, LoadImageA, IsIconic, GetWindowRect, GetDesktopWindow, ShowWindow, PeekMessageA, BeginPaint, GetSysColor, GetClientRect, DrawTextA, EndPaint, GetActiveWindow, PostQuitMessage, DefWindowProcA, GetSystemMetrics, CreateWindowExA, GetFocus, wsprintfA, MessageBoxA, DestroyWindow, GetSystemMenu, EnableMenuItem, AppendMenuA, PostMessageA, GetMessageA, IsWindow, IsDialogMessageA, TranslateMessage, DispatchMessageA, LoadIconA, LoadCursorA, RegisterClassA, CharNextA, SetActiveWindow, SetFocus, EnableWindow > GDI32.dll: SetTextColor, DeleteObject, SelectObject, SetTextJustification, GetTextMetricsA, GetTextExtentPoint32A, CreateFontIndirectA, CreateSolidBrush, Rectangle, CreatePen, GetStockObject, LineTo, MoveToEx, Ellipse, DeleteDC, SetStretchBltMode, StretchBlt, SetBrushOrgEx, GetObjectA, CreateCompatibleDC, SelectPalette, RealizePalette, CreatePalette, GetDeviceCaps, SetBkMode > ole32.dll: OleUninitialize, OleInitialize > SHELL32.dll: Shell_NotifyIconA, ExtractIconA ( 0 exports ) LSP-Fix möchte bmnet.dll entfernen ... ist das ok ? |
ja aber vergess nicht winsock fix runterzuladen und falls deine internet verbindung nicht mehr geht, das tool ausführen. |
|
ere... Bytemobil macht was ? Ich meine explizit installiert hab ich den nicht .... Wie auch immer, nach seiner Entfernung lief die Internet Verbindung noch. Um Toolbars moch ich immer 'n großen Bogen, aber aknn mir jemand sagen was dieses: BLYA ist ? |
Schwer zu sagen, scheint ja nur noch ein verwaister Eintrag zu sein. ein Tipp: Mal den Rootkitrevelaer benutzt und nicht ganz zu Ende gebracht? Muss nicht sein, aber der Eintrag sieht so aus. |
konntest Du den Eintrag O23 - Service: BLYA - Unknown owner - C:\DOCUME~1\gm093850\LOCALS~1\Temp\BLYA.exe (file missing) nicht fixen? Lade Dir F-Secure BlackLight@ F-secure runter und lass ihn scannen. einen weiteren scan mit MalwareBytes und den aktuellen Definitionen manuelle Malwarebytes' Anti-Malware Database --> Log posten poste doch bitte zwischendurch ein neues HiJackthis Log |
Moin :) (war gestern spät ... errr ... früh ...) Mit BLYA.exe kann ich leider nix anfangen. Daher auch nicht fixen ... Jedenfalls hat der Fprot Blacklight nichts gefunden. Kein verstecktes File, Prozess oder sonst was. Update Malwarebytes' Anti-Malware Database manuell ist NICHT möglich. Sobald das Update installiert ist, startet die Applikation nicht mehr. Es kommt die Fehlermeldung das die Malware Datenbank mit der aktuell benutzten Application nicht kompatibel ist. Verwendete Malwarebytes' Anti-Malware: ver. 1.23 Der Scan läuft noch und ich poste das log sobald's fertig ist. Nach dem entfernen des Bmnet.dll hat scheinbar kein Prozess mehr versucht über den Internetexplorer ungefragt auf's Internet zuzugreifen ... Die Updates funktionieren nach wie vor nicht ! |
Ok, fertig: Malwarebytes' Anti-Malware 1.23 Datenbank Version: 985 Windows 5.1.2600 Service Pack 2 14:17:14 27.07.2008 mbam-log-7-27-2008 (14-17-13).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 78849 Laufzeit: 23 minute(s), 22 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) ------------------------------------------------------------------------- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:17:45, on 27.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\AGRSMMSG.exe C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\bmwebcfg.exe C:\WINDOWS\system32\o2flash.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\svchost.exe C:\Windows\system32\cipcheck.exs C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Windows NT\Accessories\WORDPAD.EXE C:\WINDOWS\system32\SNDVOL32.EXE C:\Program Files\VideoLAN\VLC\vlc.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 200.88.114.166:80 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file) O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &Google Search - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Program Files\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Program Files\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsu...?1124969228453 O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://geduterm01.cmowe.noklab.net/noklab-du/msrdp.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1FE5004A-9EA7-450A-B3AF-C6AC5F6D7779}: NameServer = 192.168.0.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{AB4D6A07-58C2-47D9-AFDC-10AD042FC62D}: NameServer = 69.50.176.198,195.225.176.153 O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: BLYA - Unknown owner - C:\DOCUME~1\gm093850\LOCALS~1\Temp\BLYA.exe (file missing) O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe O23 - Service: SIS (STS IS Service) - C:\Windows\system32\cipcheck.exs -- End of file - 5320 bytes |
kannst du die cipcheck.exs über den taskmanager killen? dann O23 - Service: SIS (STS IS Service) - C:\Windows\system32\cipcheck.exs fixen! |
gekillt. ... wie fixen ? |
Nein das ist ein Prozess den kann man nicht fixen du sollst unter dem Taskmanager versuchen (mit Strg+Alt+Entf aufrufen) den Prozess cipcheck.exs unter Prozesse zu beenden, danach dann den eintrag O23 - Service: SIS (STS IS Service) - C:\Windows\system32\cipcheck.exs mit hijackthis fixen und folgende Einträge zu fixen würde ich auch vorschlagen Code: O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file) |
so, gefixt ... dache ich zumindest. Hier ist der aktuelle Scan: Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\bmwebcfg.exe C:\WINDOWS\system32\o2flash.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\svchost.exe C:\Windows\system32\cipcheck.exs C:\WINDOWS\Explorer.EXE C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\AGRSMMSG.exe C:\Program Files\SlySoft\AnyDVD\AnyDVDtray.exe C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 200.88.114.166:80 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Si&milar Pages - res://C:\Program Files\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124969228453 O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://geduterm01.cmowe.noklab.net/noklab-du/msrdp.cab O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe O23 - Service: SIS (STS IS Service) - C:\Windows\system32\cipcheck.exs -- End of file - 4230 bytes was auffält: O23 ... chipcheck und R1 lassen sich nicht entfernen (fixen) |
... hmmm, könnte es sein das vielleich der TCP/IP stack vom WinXP 'n Schlag hat. Sozusagen ein Überbleibsel von 'nem Virus/Trojaner. Ich meine, Der Firefox und IE funktionieren einwandfrei was das Aufrufen von Seiten angeht, aber andere Programme wie Anti-Malware, Replay Media Catcher oder Antivira kommen nicht durch. Und die werden definitiv in der Firewall nicht geblockt !! Was macht der Winsock fix eigentlich genau ? |
versuch es im abgesicherten Modus |
oder Anleitung Avenger (by swandog46) 1.) Lade dir das Tool Avenger und speichere es auf dem Desktop: http://saved.im/mjy0mthybjrp/avenger.bmp 2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist. Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here") Code: files to delete:4.) Um den Avenger zu starten klicke auf -> Execute Dann bestätigen mit "Yes" das der Rechner neu startet! 5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board. anschliessend nochmals versuchen O23 - Service: SIS (STS IS Service) - C:\Windows\system32\cipcheck.exs zu fixen |
so, gemacht ... HijackThis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:00:08, on 27.07.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\AGRSMMSG.exe C:\Program Files\SlySoft\AnyDVD\AnyDVDtray.exe C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Program Files\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\bmwebcfg.exe C:\WINDOWS\system32\o2flash.exe C:\WINDOWS\system32\HPZipm12.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 200.88.114.166:80 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O4 - HKLM\..\Run: [avgnt] "C:\Program Files\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKCU\..\Run: [AnyDVD] C:\Program Files\SlySoft\AnyDVD\AnyDVDtray.exe O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124969228453 O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - http://geduterm01.cmowe.noklab.net/noklab-du/msrdp.cab O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\WINDOWS\system32\bmwebcfg.exe O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Program Files\Sygate\SPF\smc.exe O23 - Service: SIS (STS IS Service) - Unknown owner - C:\Windows\system32\cipcheck.exs (file missing) -- End of file - 3862 bytes der cipceck is nicht wegzubekommen. Hab jetzt schon 3 mal versucht mit Hijackthis zu fixen ... |
und jetzt: Bytemobile Web Configurator über die systemsteuerung deinstallieren und dann O23 - Service: SIS (STS IS Service) - Unknown owner - C:\Windows\system32\cipcheck.exs (file missing) R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 200.88.114.166:80 diese beiden mit Hijackthis fixen! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:20 Uhr. |
Copyright ©2000-2025, Trojaner-Board