Trojaner-Board - Roter Kreis mit weißem Kreuz

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Roter Kreis mit weißem Kreuz (https://www.trojaner-board.de/69471-roter-kreis-weissem-kreuz.html)

Roter Kreis mit weißem Kreuz

Hallo zusammen,
ich bin neu hier im Forum, da ich ein Problem habe, dass ihr wahrscheinlich nicht mehr hören könnt.

Ich habe(hatte?) diesen sehr bekannten Virus, bei dem unten rechts(da wo die im Hintergrund laufenden Programme angezeigt werden), ein roter Kreis mit einem weißem Kreuz angezeigt wird.

Als erstes habe ich mich nicht sehr drum bemüht und einfach mal nen Systemcheck mit AntiVir gemacht. Das hat dann auch ein paar Viren gefunden, aber der rote Kreis war nicht weg.

Dann habe ich gedacht nimm doch mal "smitfraudfix". Erst nen Check gemacht, dann im abgesicherten Modus "gecleant", der hat wohl auch nen bischen was gemacht... Rebootet und der rote Kreis war weg. Auch der schwarze Bildschirm mit dem text "Warning you have many viruses on your computer, check with a special software[den Rest weiß ich nicht mehr]) war weg, stattdessen(normal nach smitfraudfix) ein blauer Hintergrund.

Ich kann seit ich den Virus habe(hatte?) mein Hintergrundbild nicht mehr ändern. Hatte gehofft das ginge jetzt wieder, aber nein es geht noch nicht.
Daraus schließe ich das noch iwas auf meinem Rechner ist.

HijackThis Logfile:

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 09:58:52, on 02.02.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Programme\Bonjour\mDNSResponder.exe

C:\Programme\Comodo\Firewall\cmdagent.exe

C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Programme\Google\Update\GoogleUpdate.exe

C:\WINDOWS\System32\svchost.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\MPM\MpmSvc.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Gemeinsame Dateien\NMSAccessU.exe

C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\Programme\Spyware Terminator\sp_rsser.exe

C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\VMware\VMware Player\vmware-authd.exe

C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe

C:\WINDOWS\system32\vmnat.exe

C:\WINDOWS\system32\vmnetdhcp.exe

C:\WINDOWS\system32\VTTimer.exe

C:\Programme\Java\jre6\bin\jusched.exe

C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe

C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe

C:\Programme\QuickTime\QTTask.exe

C:\Programme\iTunes\iTunesHelper.exe

C:\Programme\VirtualCloneDrive\VCDDaemon.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\phonostar\ps_timer.exe

C:\WINDOWS\system32\rundll32.exe

C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Programme\DNA\btdna.exe

C:\Programme\Windows Media Player\WMPNSCFG.exe

C:\Programme\UK´sKalender\Kalender.exe

C:\dokumente und einstellungen\christoph\lokale einstellungen\anwendungsdaten\isyea.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Programme\iPod\bin\iPodService.exe

C:\Programme\Mozilla Firefox 3\firefox.exe

C:\Programme\Trend Micro\hjt202.exe\HijackThis.exe
 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R3 - URLSearchHook: (no name) - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - (no file)

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQToolbar\toolbaru.dll

R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)

R3 - URLSearchHook: Power Challenge Toolbar - {208722fa-38e0-4142-83e5-a341b43a35dd} - C:\Programme\Power_Challenge\tbPowe.dll (file missing)

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,

O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQToolbar\toolbaru.dll

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Power Challenge Toolbar - {208722fa-38e0-4142-83e5-a341b43a35dd} - C:\Programme\Power_Challenge\tbPowe.dll (file missing)

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll (file missing)

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQToolbar\toolbaru.dll

O3 - Toolbar: (no name) - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - (no file)

O3 - Toolbar: (no name) - {6B56C8CA-C94E-4DBA-BF1B-6C07AFCC644E} - (no file)

O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh\Plugins\reg\VeohToolbar.dll

O3 - Toolbar: Power Challenge Toolbar - {208722fa-38e0-4142-83e5-a341b43a35dd} - C:\Programme\Power_Challenge\tbPowe.dll (file missing)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll (file missing)

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [System Files Updater] C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe /S

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\VirtualCloneDrive\VCDDaemon.exe" /s

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [Ksicozuxecuguvek] rundll32.exe "C:\WINDOWS\Qziwi.dll",e

O4 - HKLM\..\RunOnce: [NSSInstallation] C:\WINDOWS\system32\Adobe\Shockwave 11\nssstub.exe /RunOnce

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear

O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe

O4 - HKCU\..\Run: [DW6] "C:\Programme\The Weather Channel FW\Desktop\DesktopWeather.exe"

O4 - HKCU\..\Run: [EA Core] C:\Programme\Electronic Arts\EADM\Core.exe -silent

O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe"

O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh\VeohClient.exe" /VeohHide

O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe

O4 - HKCU\..\Run: [Kalender] C:\Programme\UK´sKalender\Kalender.exe

O4 - HKCU\..\Run: [isyea] "c:\dokumente und einstellungen\christoph\lokale einstellungen\anwendungsdaten\isyea.exe" isyea

O4 - HKCU\..\Run: [Windows Client] %PROGRAMFILES%\client.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: AutorunsDisabled

O4 - Global Startup: AutorunsDisabled

O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm

O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Datei mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm

O8 - Extra context menu item: Videos mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlfvideo.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://de8.hpwis.com

O18 - Protocol: AutorunsDisabled - (no CLSID) - (no file)

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\Skype4COM.dll

O20 - AppInit_DLLs: hplun.dll 

O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe

O23 - Service: Boonty Games - Unknown owner - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe (file missing)

O23 - Service: BroadWave Service (BroadWaveService) - Unknown owner - C:\Programme\NCH Swift Sound\BroadWave\broadwave.exe (file missing)

O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Programme\Comodo\Firewall\cmdagent.exe

O23 - Service: Google Update Service (gupdate1c91116dfa3df82) (gupdate1c91116dfa3df82) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: MPM MultiPlugMate Service (MpmSvc) - K. Hofacker, Hamburg, Germany, www.gslantern.com - C:\Programme\MPM\MpmSvc.exe

O23 - Service: NMSAccessU - Unknown owner - C:\Programme\Gemeinsame Dateien\NMSAccessU.exe

O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Programme\Spyware Terminator\sp_rsser.exe

O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe

O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe

O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe

O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
 

--

End of file - 11993 bytes

Ich hoffe ihr könnt mir helfen, danke!

Achja, ich habe die im Inet vorgegebenen Schritte noch nicht in der Reihenfolge durchgeführt, weil ich es mich nicht getraut habe ohne Zustimmung von Experten. Ausserdem habe ich die beiden Schritte die ich gemacht habe eigenständig durhcgeführt ohne schon anch dem Virus gesucht zu haben, dass habe ich erst nachher gemacht.

Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

C:\dokumente und einstellungen\christoph\lokale einstellungen\anwendungsdaten\isyea.exe

C:\WINDOWS\Qziwi.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

http://saved.im/mzi3ndg3nta0/aven.jpg

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Ksicozuxecuguvek]

 

Files to delete:

C:\dokumente und einstellungen\christoph\lokale einstellungen\anwendungsdaten\isyea.exe

C:\WINDOWS\Qziwi.dll

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code:

O4 - HKCU\..\Run: [isyea] "c:\dokumente und einstellungen\christoph\lokale einstellungen\anwendungsdaten\isyea.exe" isyea

Lass anschließend MAM laufen und poste ein neues HJ-Log;
Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.

Chris

Dankeschön erstmal :)
Gehe jetzt alle Punkte durch

Virustotal:
"C:\dokumente und einstellungen\christoph\lokale einstellungen\anwendungsdaten\isyea.exe"

Code:

Antivirus          Version          letzte aktualisierung          Ergebnis

a-squared        4.0.0.93        2009.02.02        -

AhnLab-V3        5.0.0.2        2009.02.02        -

AntiVir        7.9.0.70        2009.02.02        -

Authentium        5.1.0.4        2009.02.01        -

Avast        4.8.1281.0        2009.02.01        -

AVG        8.0.0.229        2009.02.01        -

BitDefender        7.2        2009.02.02        -

CAT-QuickHeal        10.00        2009.02.02        -

ClamAV        0.94.1        2009.02.02        -

Comodo        957        2009.02.01        -

DrWeb        4.44.0.09170        2009.02.02        -

eSafe        7.0.17.0        2009.02.01        -

eTrust-Vet        31.6.6335        2009.01.29        -

F-Prot        4.4.4.56        2009.02.01        -

F-Secure        8.0.14470.0        2009.02.02        -

Fortinet        3.117.0.0        2009.02.02        -

GData        19        2009.02.02        -

Ikarus        T3.1.1.45.0        2009.02.02        -

K7AntiVirus        7.10.613        2009.02.02        -

Kaspersky        7.0.0.125        2009.02.02        -

McAfee        5513        2009.02.01        -

McAfee+Artemis        5513        2009.02.01        -

Microsoft        1.4306        2009.02.02        -

NOD32        3817        2009.02.02        -

Norman        6.00.02        2009.01.31        -

nProtect        2009.1.8.0        2009.02.02        -

Panda        9.5.1.2        2009.02.02        -

PCTools        4.4.2.0        2009.02.01        -

Prevx1        V2        2009.02.02        Fraudulent Security Program

Rising        21.14.61.00        2009.02.01        -

SecureWeb-Gateway        6.7.6        2009.02.02        -

Sophos        4.38.0        2009.02.02        -

Sunbelt        3.2.1835.2        2009.01.16        -

Symantec        10        2009.02.02        -

TheHacker        6.3.1.5.243        2009.02.02        -

TrendMicro        8.700.0.1004        2009.02.02        -

VBA32        3.12.8.12        2009.02.01        -

ViRobot        2009.2.2.1585        2009.02.02        -

VirusBuster        4.5.11.0        2009.02.01        -

weitere Informationen

File size: 225792 bytes

MD5...: d09dc3e70431300492e3242bbc32e723

SHA1..: e52cc6afe845e4c92e700b031cd78b2f16c4348c

SHA256: 844c0458b961297d467a0cc92fff25c742a881121d3201db0880c1615ab277f6

SHA512: 520eee9552468158737a3d027f528896604db94c8262cc72d63f4e157f64923f

a8995040993210ad081f14ffe7cef5812ee99c2be385ae5b54e47dbbbff18a12

ssdeep: 6144:PIjKcrg+1zLaJ3UcsVQ03TdQpO3eyKXCTM:sKcjtBc2QkQU

PEiD..: Armadillo v1.71

TrID..: File type identification

Win32 Executable MS Visual C++ (generic) (65.2%)

Win32 Executable Generic (14.7%)

Win32 Dynamic Link Library (generic) (13.1%)

Generic Win/DOS Executable (3.4%)

DOS Executable Generic (3.4%)

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x30f22

timedatestamp.....: 0x46ae1cbb (Mon Jul 30 17:15:39 2007)

machinetype.......: 0x14c (I386)
 

( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x300bc 0x30200 7.39 f725f894edd0f3cd0e4829f6b36df797

.rdata 0x32000 0x10e4 0x1200 5.31 afc4994bbc249001be92aef4cd214d22

.data 0x34000 0x587c 0x5a00 5.56 0cc22b6eda8fa56362aaa695f7d45d63
 

( 10 imports )

> KERNEL32.dll: GetLogicalDriveStringsA, SetConsoleActiveScreenBuffer, MoveFileExA, VirtualLock, EnumResourceNamesA, SetThreadLocale, GetCommModemStatus, CreateMutexA, GetCommandLineW, EnumResourceNamesW, GetConsoleCursorInfo, GetModuleHandleA, _llseek, GetSystemTime, SetConsoleOutputCP, SetConsoleWindowInfo, InitializeCriticalSection, GetEnvironmentVariableW, LCMapStringA, WritePrivateProfileSectionW, WritePrivateProfileStringW, QueryDosDeviceA, WritePrivateProfileSectionA, GetUserDefaultLangID, GetCompressedFileSizeW, IsBadStringPtrA, GetSystemTimeAsFileTime, GetVolumeInformationW, FindFirstFileExW, GetBinaryTypeA, VirtualAlloc, GetStartupInfoA

> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -

> USER32.dll: GetCaretPos, DefWindowProcW, MonitorFromPoint, GetWindowRect, AppendMenuA, GetClipboardData, GetDialogBaseUnits, CreateMDIWindowW, EnumDisplayMonitors, AttachThreadInput, RegisterWindowMessageW, SetDlgItemTextA

> ole32.dll: CreateOleAdviseHolder, OleSetClipboard, OleCreateFromData

> GDI32.dll: CloseMetaFile, SetMetaFileBitsEx, GdiComment, OffsetRgn, EnumFontsA, PathToRegion, BitBlt, FillPath, EnumFontFamiliesA

> SHELL32.dll: SHGetPathFromIDListA, SHChangeNotify, Shell_NotifyIconA

> WS2_32.dll: -, -, WSAEnumNameSpaceProvidersA, WSALookupServiceBeginA, -, -, -, WSAGetServiceClassInfoW, WSAEnumProtocolsW, -, -, -, -

> VERSION.dll: VerQueryValueA, GetFileVersionInfoA, VerInstallFileA

> ADVAPI32.dll: RegSetValueA, SetKernelObjectSecurity, QueryServiceLockStatusW, OpenSCManagerW, RegCreateKeyExA, StartServiceA, RegEnumKeyExW, CloseEventLog, GetSecurityDescriptorGroup, GetAce, GetSidIdentifierAuthority, EnumDependentServicesA, RegSetValueExW, SetEntriesInAclA, EnumServicesStatusW, CryptDeriveKey, RegQueryValueExW, AddAccessAllowedAce, CreateServiceA, RegRestoreKeyW, GetAclInformation, RegisterEventSourceW, EnumServicesStatusA, GetFileSecurityA, OpenServiceW, SetTokenInformation, AccessCheck, SetFileSecurityW, GetUserNameW, CryptImportKey, OpenServiceA, RegConnectRegistryW, FreeSid, RegEnumValueA, CryptSignHashW, CreatePrivateObjectSecurity, RegisterEventSourceA, RegNotifyChangeKeyValue, ClearEventLogW, QueryServiceStatus, GetSecurityDescriptorSacl, GetSidSubAuthority

> MSVCRT.dll: _except_handler3, __set_app_type, __p__fmode, __p__commode, _adjust_fdiv, __setusermatherr, _initterm, __getmainargs, _acmdln, _XcptFilter, _exit, remove, _itoa, _wfsopen, strcspn, _mbslwr, exit, _filelength, _sopen, _getdrive, _mbstrlen, _controlfp, _strncoll, isspace, iswxdigit, wcstok, puts, _wopen, _setmode, fflush, isxdigit, strrchr, _vsnwprintf, _ecvt
 

( 0 exports )

Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=C969948A00268D5E729E03F45F85BD0082107C21' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=C969948A00268D5E729E03F45F85BD0082107C21</a>

"C:\WINDOWS\Qziwi.dll"

Code:

Antivirus          Version          letzte aktualisierung          Ergebnis

a-squared        4.0.0.93        2009.02.02        Trojan.Win32.Hiloti!IK

AhnLab-V3        5.0.0.2        2009.02.02        -

AntiVir        7.9.0.70        2009.02.02        -

Authentium        5.1.0.4        2009.02.01        -

Avast        4.8.1281.0        2009.02.01        -

AVG        8.0.0.229        2009.02.01        -

BitDefender        7.2        2009.02.02        -

CAT-QuickHeal        10.00        2009.02.02        -

ClamAV        0.94.1        2009.02.02        -

Comodo        959        2009.02.02        -

DrWeb        4.44.0.09170        2009.02.02        -

eSafe        7.0.17.0        2009.02.01        -

eTrust-Vet        31.6.6335        2009.01.29        -

F-Prot        4.4.4.56        2009.02.01        W32/Hiloti.A.gen!Eldorado

F-Secure        8.0.14470.0        2009.02.02        -

Fortinet        3.117.0.0        2009.02.02        -

GData        19        2009.02.02        -

Ikarus        T3.1.1.45.0        2009.02.02        Trojan.Win32.Hiloti

K7AntiVirus        7.10.613        2009.02.02        -

Kaspersky        7.0.0.125        2009.02.02        -

McAfee        5513        2009.02.01        -

McAfee+Artemis        5513        2009.02.01        -

Microsoft        1.4306        2009.02.02        -

NOD32        3817        2009.02.02        -

Norman        6.00.02        2009.01.31        -

nProtect        2009.1.8.0        2009.02.02        -

Panda        9.5.1.2        2009.02.02        -

PCTools        4.4.2.0        2009.02.01        -

Prevx1        V2        2009.02.02        Cloaked Malware

Rising        21.14.61.00        2009.02.01        -

SecureWeb-Gateway        6.7.6        2009.02.02        -

Sophos        4.38.0        2009.02.02        Troj/Virtum-Gen

Sunbelt        3.2.1835.2        2009.01.16        -

Symantec        10        2009.02.02        -

TheHacker        6.3.1.5.243        2009.02.02        -

TrendMicro        8.700.0.1004        2009.02.02        -

VBA32        3.12.8.12        2009.02.01        -

ViRobot        2009.2.2.1585        2009.02.02        -

VirusBuster        4.5.11.0        2009.02.01        -

weitere Informationen

File size: 40448 bytes

MD5...: 65674d9c9bb13da3977a17fa5b58bb26

SHA1..: be1d700bd5b1035bb72e83064adc10dee205b5ca

SHA256: f53ee00d8da74ab2b52dea16ef4c9d8d87f71aabf4689c01f15c10c0668ba84e

SHA512: fa59974fd5c46221fb227e82a1876eb4937d94ad76920497bcdea0c29135cec2

5a0cc466a71827e172897f2df43f1c1228c86b4ecd5a39976bd7e80533e1426d

ssdeep: 768:pH+3c/BPkTqZx+FQARtTEQtrzC9VY8OZpH7S3B1HHB9momD+y34oPwxAh1PZ

D5ms:pH0c/BPk2T+Fh5PIY8kpH7S3HHB9DewK

PEiD..: -

TrID..: File type identification

Win32 Dynamic Link Library (generic) (65.4%)

Generic Win/DOS Executable (17.2%)

DOS Executable Generic (17.2%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0x6234

timedatestamp.....: 0x489b040c (Thu Aug 07 14:17:48 2008)

machinetype.......: 0x14c (I386)
 

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x7000 0x6c00 7.60 7475c1bb2b42a14f5e576964be55f744

.data 0x8000 0x2000 0x1a00 6.21 0f37d6e45c7ae2443562eb178f24bbb3

.rsrc 0xa000 0x1000 0x600 2.64 c5e7f3e2e0e5e738bb62b19167ce498c

.reloc 0xb000 0x1000 0x200 2.10 24a275d6446b5cf972e55d8f2f0b328e
 

( 5 imports )

> KERNEL32.dll: DeleteFileA, FindClose, GetDriveTypeA, GetEnvironmentStringsW, GetFileType, HeapAlloc, HeapCreate, SetHandleCount, WaitForSingleObject

> msvcrt.dll: setlocale, _wcsicmp, exit, time, _exit, realloc

> user32.dll: ExitWindowsEx, wsprintfA, TrackPopupMenu

> OLEAUT32.dll: -, -, -, -, -, -, -, -

> SHLWAPI.dll: PathAppendA, PathCombineA, PathFindOnPathA, SHQueryInfoKeyA, StrChrA, StrStrA, StrStrIA, SHOpenRegStreamA
 

( 0 exports )

Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=C41B05B3003B756C9E9F003A5FB8BF00CFB0C587' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=C41B05B3003B756C9E9F003A5FB8BF00CFB0C587</a>

Avenger macht Probleme.
Ich habe alle Programme beendet und Avenger gestartet deinen Code eingefügt(in die weiße Box)

Code:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Ksicozuxecuguvek]

 

Files to delete:

C:\dokumente und einstellungen\christoph\lokale einstellungen\anwendungsdaten\isyea.exe

C:\WINDOWS\Qziwi.dll

Und er sagt nacht dem Bestätigen:"Error:Invalid script. A valid scriptmust begin with a command directive. Aborting execution!"

Code:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Ksicozuxecuguvek]

Ich verstehe nicht wofür dieser Part verantwortlich ist.

Hi,

(mein) Kopierfehler, die Zeile soll den Starteintrag entfernen, es fehlt die Direktive vorneweg:

Code:

Registry values to delete:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Ksicozuxecuguvek

chris

Ok, diesmal hat Avenger nicht rumgezickt, aber der Log sagt mir(Anfänger) das daraus nichts geworden ist. Habe jetzt das eingegeben

Code:

Registry values to delete:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Ksicozuxecuguvek
 

Files to delete:

C:\dokumente und einstellungen\christoph\lokale einstellungen\anwendungsdaten\isyea.exe

C:\WINDOWS\Qziwi.dll

Der Log war dann das hier:

Code:

//////////////////////////////////////////

  Avenger Pre-Processor log

//////////////////////////////////////////
 

Platform: Windows XP (build 2600, Service Pack 3)

Mon Feb 02 11:13:59 2009
 

11:13:59: Error: Invalid script.  A valid script must begin with a command directive.

Aborting execution!
 
 

//////////////////////////////////////////
 
 

//////////////////////////////////////////

  Avenger Pre-Processor log

//////////////////////////////////////////
 

Platform: Windows XP (build 2600, Service Pack 3)

Mon Feb 02 11:15:40 2009
 

11:15:40: Error: Invalid script.  A valid script must begin with a command directive.

Aborting execution!
 
 

//////////////////////////////////////////
 
 

//////////////////////////////////////////

  Avenger Pre-Processor log

//////////////////////////////////////////
 

Platform: Windows XP (build 2600, Service Pack 3)

Mon Feb 02 11:20:57 2009
 

11:20:57: Error: Invalid script.  A valid script must begin with a command directive.

Aborting execution!
 
 

//////////////////////////////////////////
 
 

Logfile of The Avenger Version 2.0, (c) by Swandog46

http://swandog46.geekstogo.com
 

Platform:  Windows XP
 

*******************
 

Error:  Script file not found!

Could not open script file!  Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

  --> the object does not exist
 

Abort!

Warum hat er abgebrochen?
Das Hijack fixen lasse ich erstmal und warte auf ne Antwort :)

Danke für die schnelle Hilfe.

Hi,

dann nehmen wir die bei Hackern weniger bekannt Killbox:

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html
oder
http://www.wintotal.de/Software/index.php?id=4101

Options: Delete on Reboot --> anhaken
reinkopieren:

Code:

C:\dokumente und einstellungen\christoph\lokale einstellungen\anwendungsdaten\isyea.exe

C:\WINDOWS\Qziwi.dll

und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

PC neustarten

chris

Dankeschön :)
Ich werde das mal ausprobieren.

Dankeschön :)
Direkt nach dem Reboot gab es die Fehlermeldung RUNDLL:Fehler beim Laden von C:\Windows\Qizwi.dll
Das angegebene Modul wurde nicht gefunden.
Isyea.exe ist auch nicht mehr da. :)
Aber noch Dateien wie:isyea.dat, isyea_nav.dat, isyea_navps.dat

Und das blödeste ist, die Probleme sind nocht weg.
Soll ich nochmal nen HijackLog psten?

Danker erstmal für die Hilfe. :)

Hi,

poste ein neues HJ-Log, die Starteinträge müssen noch gefixt werden.

-und-

Malwarebytes Antimalware (MAM).
Anleitung&Download hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Fullscan und alles bereinigen lassen! Log posten.

chris

Heisst das ich soll bei HJT schon iwas fixen, oder erstmal nur den Log posten?
Das mit Malewarebytes mache ich :)

Hi,

lass MAM laufen und poste dann ein neues HJ-Log.
Danach entfernen wir ggf. die Starteinträge...

chris

Dankeschön, mache ich. Bist echt nen guter und netter Helfer :)
Solche Leute habe ich in Foren noch nicht häufig gesehen.

Ok, fange jetzt an, hatte in letzter Zeit leider keine Zeit... :(

Also hier der Log MAM

Code:

Malwarebytes' Anti-Malware 1.33

Datenbank Version: 1736

Windows 5.1.2600 Service Pack 3
 

08.02.2009 12:07:04

mbam-log-2009-02-08 (12-07-04).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)

Durchsuchte Objekte: 288980

Laufzeit: 2 hour(s), 49 minute(s), 57 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 6

Infizierte Registrierungswerte: 6

Infizierte Dateiobjekte der Registrierung: 4

Infizierte Verzeichnisse: 4

Infizierte Dateien: 22
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

HKEY_CLASSES_ROOT\CLSID\{ba8197c1-bb27-4bdb-af79-2fc3cadc0a90} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\internetgamebox (Adware.EGDAccess) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\gxvpsafm.bxkn (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\gxvpsafm.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
 

Infizierte Registrierungswerte:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ksicozuxecuguvek (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\host-domain-lookup.com (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\mysearchnow.com (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\www.host-domain-lookup.com (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\www.mysearchnow.com (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.
 

Infizierte Dateiobjekte der Registrierung:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.UserInit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twex.exe,) Good: (userinit.exe) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\activedesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
 

Infizierte Verzeichnisse:

C:\Programme\InternetGameBox (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Programme\InternetGameBox\ressources (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Programme\InternetGameBox\ressources\favoris (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Programme\InternetGameBox\skins (Adware.EGDAccess) -> Quarantined and deleted successfully.
 

Infizierte Dateien:

C:\WINDOWS\pntqkflv.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Programme\InternetGameBox\InternetGameBox.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Programme\InternetGameBox\language (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Programme\InternetGameBox\uninst.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Programme\InternetGameBox\ressources\AttenteOff.html (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Programme\InternetGameBox\ressources\AttenteOn.html (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Programme\InternetGameBox\ressources\configv2_en.xml (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Programme\InternetGameBox\ressources\configv2_es.xml (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Programme\InternetGameBox\ressources\configv2_fr.xml (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Programme\InternetGameBox\ressources\favoris\defaultv2.swf (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Programme\InternetGameBox\skins\skinv2.skn (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\warning.gif (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\ahtn.htm (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\nvs2.inf (Adware.EGDAccess) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\Unbekannt\Desktop\Free PC Wallpapers.lnk (Rogue.Link) -> Quarantined and deleted successfully.

C:\Dokumente und Einstellungen\Unbekannt\Desktop\Repair Your Registry.lnk (Rogue.Link) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\senekabbfuuorq.dll (Trojan.Agent) -> Delete on reboot.

C:\WINDOWS\system32\senekaemnrpois.dll (Trojan.Agent) -> Delete on reboot.

C:\WINDOWS\system32\senekamfjbitho.dat (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\senekaxrppdtwo.dat (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\drivers\senekakqberlen.sys (Trojan.Agent) -> Delete on reboot.

C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> Quarantined and deleted successfully.

War da viel Müll aufm Rechner O_O.
Diese Fehlermeldung gab es noch : http://s10b.directupload.net/images/...p/gnsqz96u.jpg

Gleich kommt auch noch der HJT Log, nach dem Neustart.