Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   iecik.exe (https://www.trojaner-board.de/74355-iecik-exe.html)

Baris66 21.06.2009 09:58
iecik.exe
 
Hey

Ich habe folgendes Problem : Immer wenn ich surfe, öffnet sich ein Pop Up Fenster, wobei der Prozessname iecik.exe lautet. Wenn ich den Prozess beende, dann öffnet sich auch kein Pop Up Fenster mehr, bis ich den PC neustarte.


Hier ein Hijack This Log-File
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:55:15, on 21.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Installierte Programme\Avast4\aswUpdSv.exe
C:\Installierte Programme\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\INSTAL~1\Avast4\ashDisp.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\dokumente und einstellungen\*****\lokale einstellungen\anwendungsdaten\iecik.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Fast.exe
C:\Installierte Programme\Avast4\ashMaiSv.exe
C:\Installierte Programme\Avast4\ashWebSv.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\PROGRA~1\FREEDO~1\FDM.exe
D:\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local
O2 - BHO: Adobe PDF Link Helper - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [avast!] C:\INSTAL~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] D:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [iecik] "c:\dokumente und einstellungen\*****\lokale einstellungen\anwendungsdaten\iecik.exe" iecik
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Installierte Programme\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Installierte Programme\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Installierte Programme\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Installierte Programme\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

--
End of file - 5487 bytes

Da ist ja auch der Übeltäter
Zitat:
O4 - HKCU\..\Run: [iecik] "c:\dokumente und einstellungen\*****\lokale einstellungen\anwendungsdaten\iecik.exe" iecik
Was genau kann ich denn nun da tun, damit der Bösewicht auf Dauer verschwindet ? Sind sonst auffällige Sachen im Log-File enthalten ?

Ahja, soein Pop Up Fenster kann da so aussehen
http://www.bilderhoster.net/thumbs/xtfmjca8.jpg

Bitte um Hilfe
mfg Baris :)

4RobSen8 21.06.2009 10:11
Hallo...und :hallo:


Du hast Navipromo drauf.
Kommt meist von Browserspielen!!!

Entfernung von Navipromo:
Deaktivieren der Systemwiederherstellung
Windows XP:
  • Start => Ausführen => sysdm.cpl eingeben => "OK" drücken
  • Wähle den Reiter "Systemwiederherstellung"
  • Einen Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" setzen => "übernehmen" drücken
  • Jetzt den PC booten, der Start kann eine Weile dauern
  • Den Haken bei "Systemwiederherstellung auf allen Laufwerken deaktivieren" entfernen und "OK" drücken
  • Windows Vista:
  • Windows Vista Symbol anklicken
  • In die Suche "Wiederherstellung" eingeben => das gefundene Tool starten
  • Klicke auf den link systemwiederherstellung aktivieren - deaktivieren
  • Klicke im nächsten Hilfefenster auf >> Klicken Sie hier, um "System" zu öffnen.<<
  • Wähle "Computerschutz" => dann fortsetzen Auswahl* treffen, für welche datei die SWH aktiviert werden soll
  • Button "übernehmen" drücken => sofort ein SWHP erstellen in dem du den Button "erstellen" drückst. Wenn du die Systemwiederherstellung wieder deaktivieren möchtest, dann die *Auswahl aufheben, das ausschalten bestätigen und den Button "übernehmen" drücken.

Erklärung
Im Verlauf der Infektion wurden auch infizierte Dateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.



Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
  • Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
  • Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
  • Wähle E für Englisch im Sprachenmenü
  • Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
  • Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
  • Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
  • Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.
Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.


Navilog sollte etwas finden das wird im Log durch oucoayg.exe found ! oder ccjyh.exe found ! deutlich.


Rufe das Programm bitte erneut auf und wähle die Option 2
  • Das Programm wird nun deinen Rechner neustarten. Schließe also alle Fenster und bestätige den Neustart.
  • Sollte der Rechner nicht neustarten, tue dies bitte manuell.
  • Nach dem Neustart läuft der Fix zuende. Bitte einfach abwarten, bis NaviFix beendet ist und keine Fenster öffnen.
  • Es öffnet sich erneut ein Fenster mit dem Scanergebnis. Speichere das Ergebnis ab und schließe den Editor. Nun sollten deine Desktopsymbole wieder erscheinen
  • Das Scanergebnis bitte hier posten.
Sollten die Desktopsymbole nicht von selbst wieder erscheinen, rufe mit [Strg][Alt][Entf] den Taskmanager auf und wähle unter Prozesse => Neuer Task ausführen aus. Gib dort explorer ein.


SUPERAntiSpyware
  • Downloade SASW >>hier<<
  • Installiere das SASW für alle Benutzer mit den vorgegebenen Installationseinstellungen
  • Starte es und klicke auf "Check for Updates...". Nachdem dem Update erscheint ein Protokollfenster, schließe es mit "close"
  • Klicke im Hauptmenü auf "Preferences", wähle den Reiter "General and Startup", bei dem Kästchen "Start SUPERAntispyware when Windows starts" sollte kein Haken sein
  • Wähle nun den Reiter "Scanning Control" und setze Haken bei:
  • Close browseres before scanning
  • Scan for tracking cookies
  • Resolve Links/Shortcuts during scan (.Ink)
  • Scan Alternate Data Streams
  • Use Kernel Direct File Access (recommended)
  • Use Kernel Direct Registry Access (recommended)
  • Use Direct Disk Access (recommended)
  • Display scan option in Explorer context (right-click) menu

Wechsel in den abgesicherten Modus:
  • Starte den PC neu
  • Drücke beim Hochfahren mehrmals die Taste [F8]
  • Es erscheint ein Windows-Menü, navigiere dich mit den Pfeiltasten zu der Option abgesicherter Modus
  • bestätige mit der Eingabetaste
  • Starte nun im abgesichertem Modus SASW
  • Klicke im Hauptmenü den Button "Scan your Computer..."
  • Wähle in der Scan Location alle Festplatten und externe Datenträger aus
  • Klicke auf "Perform Complete Scan" und gehe auf "weiter"
  • Achte darauf dass die Funde in der Box markiert sind, danach klicke auf "weiter"
  • Das Log findest du unter "Preferences..." => "Statistics/Logs" => klicke das Log an => "View Log..."
  • Poste nun das Log




Malwarebytes' Anti-Malware
  • Installieren mit den vorgegegebenen Einstellungen
  • Updaten
  • Vollständigen Scan durchführen
  • Alle Funde löschen lassen


Alle entstandene Logfiles im Forum posten zusätzlich noch ein HiJackThis Logfile.[/QUOTE]

1.) Kaspersky Online Scan

Überprüfe Dein komplettes System mit dem Kaspersky Online-Scanner. Bitte während des Scans alle evtl. vorhandenen externen Festplatten einschalten/anschließen. Außerdem während des Scans alle Hintergrundwächter (Anti-Virus-Programm, Firewall, Skriptblocking und ähnliche) abstellen und nicht vergessen, sie hinterher wieder einzuschalten.
  • Kaspersky Online Scanner
    • Anmerkung für Vista-User: Bitte den Browser unbedingt als Administrator starten.
    • Java muss installiert, aktiv und erlaubt sein.
    • Bebilderte Anleitung von sundavis.
    • Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick.
    • Wir werden Dir helfen, die Funde manuell vom System zu entfernen.
    • Die Datenschutzerklärung akzeptieren.
    • Programm installieren lassen.
    • Update der Signaturen installieren lassen.
    • Wenn der Status "Complete" ist,
    • Scan-Einstellungen (Settings) Standard lassen
    • Links den Link "My Computer" anklicken.
    • Scan beginnt automatisch.
    • Wenn der Scan fertig ist, auf "View scan report" klicken,
    • "Save report as" und Dateityp auf .txt umstellen,
    • und auf dem Desktop als Kaspersky.txt speichern.
    • Logdatei hier posten.
    • Deinstallation ist nicht nötig, alle Dateien werden in temporären Ordnern gespeichert.

Baris66 21.06.2009 10:20
Okay Danke erstmal für die Antwort, werde ich später oder morgen mal so wie es aufgeführt wurde, tun.


Habe vorhin noch mit Malwarebytes Anti Malware einen Scan durchgeführt & folgendes Ergebnis/Log-File erhalten


Code:
Malwarebytes' Anti-Malware 1.38
Datenbank Version: 2318
Windows 5.1.2600 Service Pack 3

21.06.2009 11:06:37
mbam-log-2009-06-21 (11-06-37).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 55444
Laufzeit: 12 minute(s), 14 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\iecik (Trojan.Agent.H) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\dokumente und einstellungen\*****s\lokale einstellungen\anwendungsdaten\iecik.exe (Trojan.Agent.H) -> Delete on reboot.
Habe den PC neugestartet, nachdem ich dazu aufgefordert wurde & derzeit ist die "iecik.exe" nicht am laufen =)


Wiegesagt, werd´s später mal durchgehen.
mfg Baris

4RobSen8 21.06.2009 10:22
Desweiteren:

1.)
Lade dir bitte den neusten IE runter -> 8. Auch wenn du ihn nicht benutzen solltest. Es kommen noch ein paar Sicherheitsupdates mit.

2.)

Zitat:
C:\PROGRA~1\FREEDO~1\FDM.exe
Ob das zur Sicherheit deines Rechners beiträgt...

3.)
 Deinstaliere den MSN Messanger

4.)
Zitat:
C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
Bitte Boonty.exe einmal bei Virustotal hochladen und auswerten lassen

Baris66 21.06.2009 10:41
1) Hm ok, werde ich machen.

2) "FDM.exe" gehört zum Free Download Manager - ist das schlimm ? Fand den Download Manager eigentlich ganz nett.

3) Muss das sein ? Benutze den MSN Messenger täglich :(

4)Öhm, wie poste ich das denn ? Kann ich einfach den Link posten ?
Wenn ja, hier
http://www.virustotal.com/de/analisi...4aa-1245577256
Da wurde einiges gefunden :(

4RobSen8 21.06.2009 10:46
Muß nicht...

Code:
Ergebnis: 5/41 (12.20%)
AntiVir        7.9.0.193        2009.06.21        APPL/BoontyGames
Antiy-AVL        2.0.3.1        2009.06.19        Backdoor/Win32.Agent.gen
McAfee-GW-Edition        6.7.6        2009.06.21         Riskware.BoontyGames
Panda        10.0.0.16        2009.06.20        Application/BoontyGames
Prevx        3.0        2009.06.21         High Risk Worm
Zu "FDM.exe", habe ich auch gelesen...mußt du wissen...generrel ist von sowas immer abzuraten...

Führe erstmal die lange Liste durch und dann sehen wir weiter.


Alle Zeitangaben in WEZ +1. Es ist jetzt 07:21 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19