Virus Problem, Antivir findet nichts

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von Skelletor, 4. April 2007 .

Schlagworte:
Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. 4. April 2007
    Hallo Leute,

    also folgendes:

    ich hab nach nem keygen für stalker gesucht, hab mir dann einen vermeindlichen keygen runtergeladen, sah ganz normal aus, hatte n icon etc. .

    Ich startete diesen keygen also mit doppelklick, die .exe verschwand und seit dem bekomm ich alle ca. 15 mins per antivir dieses lustige geräusch der Detektion.

    Naja, ich lösche die files, mache zugriff verweigern, quarantäne, jedoch kommt es immer wieder, es öffnet sich kurz nach einem fund auch ein internet-explorer fenster und will irgendwo drauf connecten.

    ich hab natürlich erstmal antivir drüber laufen lassen, keine funde, spybot search&destroy findet auch nichts.


    was kann ich noch tun? so ein gefühl einen virus aufm rechner zu haben ist echt mies...



    achja:

    die funde sind meist /HEUR funde und einmal wars ein trojaner...

    hoffe, dass ihr mir helfen könnt

    edit: hier mal ein screen von den prozessen die laufen, kenn mich da nit so aus, vlt. findet ihr ja etwas!
    {bild-down: http://www.directupload.net/images/070404/2cZvtcrC.jpg}
     
  3. 5. April 2007
    AW: Virus Problem, Antivir findet nichts

    hoi,

    mach mal pls nen highjackthis log

    wenns nen trojaner sein sollte, dann ist oftmals dein standardbrowser im taskamanger zu sehen..

    mfg
     
  4. 5. April 2007
    AW: Virus Problem, Antivir findet nichts

    VIREN ...
    1. Download CCleaner
    achte beim installieren darauf, die yahoo toolbar nicht mitzuinstallieren.
    Lösche mit dem CCleaner deine Temporären Dateien.

    2. Hijackthis Anleitung
    Zeige mir das Logfile von HJT indem du es als [code*] - [/code*] postest.

    3. escan anleitung
    Bearbeite das Logfile (mwav.log) vom Escan indem du die mwav.log mit einem Texteditor öffnest, und jede Zeile/Eintrag die das Wort "infected" enthällt in deiner nächsten Antwort wiedergibts.

    mfg spotting
     
  5. 5. April 2007
    AW: Virus Problem, Antivir findet nichts

    Code:
    Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 18:25:46, on 04.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
D:\Programme\AlienGUIse\wbload.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\System32\svchost.exe
D:\Programme\iTunes\iTunesHelper.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\DAEMON Tools\daemon.exe
C:\Programme\AGEIA Technologies\TrayIcon.exe
D:\Programme\iPod\bin\iPodService.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
D:\Programme\QIP\qip.exe
C:\WINDOWS\system32\svchost.exe
D:\Programme\IRC\mIRC\mirc.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Downloads\HiJackThis_v2.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {084CE43E-7C80-43F9-8FA1-E53F8624CBFB} - C:\WINDOWS\system32\pmnlm.dll
O2 - BHO: (no name) - {0CCA5B29-E5B3-4095-866B-54CEBD3CA6D8} - C:\WINDOWS\system32\cowhoars.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {68218620-3D65-43F6-AD47-D38D84B5412A} - C:\WINDOWS\system32\ssqqppp.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DAEMON Tools] "D:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AGEIA PhysX SysTray] C:\Programme\AGEIA Technologies\TrayIcon.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundService] rundll32.exe "C:\WINDOWS\system32\rrpbabsl.dll",setvm
O4 - HKCU\..\Run: [Steam] "d:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - Winlogon Notify: pmnlm - C:\WINDOWS\system32\pmnlm.dll
O20 - Winlogon Notify: ssqqppp - C:\WINDOWS\SYSTEM32\ssqqppp.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe (file missing)
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: MSSQL$SONY_MEDIAMGR - Unknown owner - C:\Programme\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programme\WinPcap\rpcapd.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SQLAgent$SONY_MEDIAMGR - Unknown owner - C:\Programme\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlagent.EXE (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

--
End of file - 8354 bytes

    sooo hab escan durchlaufen lassen, hab 78000 durchsuchte dateien, 3 funde, 1400 gelöschte Dateien.

    hab mir das protokoll angesehen, das ist RIESIG, ich habe per bearbeiten nach "inflected" gesucht, aber nichts gefunden.

    danke aber schonmal!
     
  6. 5. April 2007
    AW: Virus Problem, Antivir findet nichts

    Meiner Meinung nach sind folgende Einträge schadhaft:

    Code:
    O2 - BHO: (no name) - {68218620-3D65-43F6-AD47-D38D84B5412A} - C:\WINDOWS\system32\ssqqppp.dll
O2 - BHO: (no name) - {0CCA5B29-E5B3-4095-866B-54CEBD3CA6D8} - C:\WINDOWS\system32\cowhoars.dll
    Und verdächtig sind aufjedenfall diese Einträge:
    Code:
    O4 - HKLM\..\Run: [SoundService] rundll32.exe "C:\WINDOWS\system32\rrpbabsl.dll",setvm
O20 - Winlogon Notify: pmnlm - C:\WINDOWS\system32\pmnlm.dll
     
  7. 5. April 2007
    AW: Virus Problem, Antivir findet nichts

    kannst ja auch mal im ordner system32 nach unbekannten .exe-dateien suchen und die in quarantäne verschieben...vielleicht ist die ja dabei, weil alle funde nur in diesem ordner sind.
     
  8. 5. April 2007
    AW: Virus Problem, Antivir findet nichts

    O2 - BHO: (no name) - {68218620-3D65-43F6-AD47-D38D84B5412A} - C:\WINDOWS\system32\ssqqppp.dll

    trojaner vundo ??

    O2 - BHO: (no name) - {0CCA5B29-E5B3-4095-866B-54CEBD3CA6D8} - C:\WINDOWS\system32\cowhoars.dll

    O2 - BHO: (no name) - {084CE43E-7C80-43F9-8FA1-E53F8624CBFB} - C:\WINDOWS\system32\pmnlm.dll

    O4 - HKLM\..\Run: [SoundService] rundll32.exe "C:\WINDOWS\system32\rrpbabsl.dll",setvm

    O20 - Winlogon Notify: pmnlm - C:\WINDOWS\system32\pmnlm.dll

    O20 - Winlogon Notify: ssqqppp - C:\WINDOWS\SYSTEM32\ssqqppp.dll

    diese vier fettmarkierten dateien testest du jetzt bei
    Jotti online malware scan oder virustotal online scan

    es handelt sich dabei wahrscheinlich um versteckte systemdateien -> in den ordneroptionen unter ansicht dies entsprechend anpassen:
    versteckte dateien anzeigen -> ja
    geschützte systemdateien ausblenden -> nein
    inhalte von systemordnern anzeigen -> ja

    die ergenisse von jotti/virustotal zeigst du uns bitte komplett

    mfg
     
  9. 5. April 2007
    AW: Virus Problem, Antivir findet nichts

    Datei: cowhoars.dll
    Auslastung:
    0% 100%
    Status:
    INFIZIERT/MALWARE
    Entdeckte Packprogramme:
    PE_PATCH.MORPHINE

    AntiVir
    TR/Dldr.ConHook.Gen gefunden
    ArcaVir
    Trojan.Packed.Klone.J gefunden
    Avast
    Keine Viren gefunden
    AVG Antivirus
    Generic3.QOJ gefunden
    BitDefender
    Trojan.BHO.AR gefunden
    ClamAV
    Keine Viren gefunden
    Dr.Web
    Adware.Crew gefunden
    F-Prot Antivirus
    Keine Viren gefunden
    F-Secure Anti-Virus
    Packed.Win32.Klone.j gefunden
    Fortinet
    W32/Klone.J!tr gefunden
    Kaspersky Anti-Virus
    Packed.Win32.Klone.j gefunden
    NOD32
    a variant of Win32/Adware.BHO.V application gefunden
    Norman Virus Control
    W32/Vundo.gen7 gefunden
    Panda Antivirus
    Keine Viren gefunden
    Rising Antivirus
    Keine Viren gefunden
    VirusBuster
    Trojan.BHO.EI gefunden
    VBA32
    Keine Viren gefunden


    Datei: rrpbabsl.dll
    Auslastung:
    0% 100%
    Status:
    INFIZIERT/MALWARE
    Entdeckte Packprogramme:
    VIRTUMONDE, PE_PATCH.UPX, UPX

    AntiVir
    ADSPY/Virtumonde.AR.2 gefunden
    ArcaVir
    Adware.Virtumonde.Ar gefunden
    Avast
    Keine Viren gefunden
    AVG Antivirus
    Generic.XYE gefunden
    BitDefender
    Trojan.Virtumod.JB gefunden
    ClamAV
    Trojan.Packed-5 gefunden
    Dr.Web
    Trojan.Virtumod gefunden
    F-Prot Antivirus
    Keine Viren gefunden
    F-Secure Anti-Virus
    not-a-virus:AdWare.Win32.Virtumonde.ar (4, 1, 400) gefunden
    Fortinet
    Adware/VirtuMonde gefunden
    Kaspersky Anti-Virus
    not-a-virus:AdWare.Win32.Virtumonde.ar gefunden
    NOD32
    Win32/Adware.Virtumonde.FT application gefunden
    Norman Virus Control
    W32/Virtumonde.FVM gefunden
    Panda Antivirus
    Keine Viren gefunden
    Rising Antivirus
    Trojan.Mnless.hnf gefunden
    VirusBuster
    Adware.Vundo.Gen!Pac.8 gefunden
    VBA32
    AdWare.Win32.Virtumonde.ar gefunden


    Datei: pmnlm.dll
    Auslastung:
    0% 100%
    Status:
    INFIZIERT/MALWARE
    Entdeckte Packprogramme:
    Bitte warten...

    AntiVir
    TR/Vundo.Gen gefunden
    ArcaVir
    Keine Viren gefunden
    Avast
    Keine Viren gefunden
    AVG Antivirus
    Lop.BL gefunden
    BitDefender
    Keine Viren gefunden
    ClamAV
    Trojan.Packed-7 gefunden
    Dr.Web
    Trojan.Virtumod gefunden
    F-Prot Antivirus
    Keine Viren gefunden
    F-Secure Anti-Virus
    not-a-virus:AdWare.Win32.Virtumonde.ic (4, 1, 400) gefunden
    Fortinet
    Keine Viren gefunden
    Kaspersky Anti-Virus
    not-a-virus:AdWare.Win32.Virtumonde.ic gefunden
    NOD32
    Keine Viren gefunden
    Norman Virus Control
    Vundo.gen16 gefunden
    Panda Antivirus
    Keine Viren gefunden
    Rising Antivirus
    Keine Viren gefunden
    VirusBuster
    Trojan.DL.Vundo.Gen!Pac.7 gefunden
    VBA32
    Keine Viren gefunden


    Datei: ssqqppp.dll
    Auslastung:
    0% 100%
    Status:
    INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
    Entdeckte Packprogramme:
    Bitte warten...

    AntiVir
    TR/Vundo.AJ.5 gefunden
    ArcaVir
    Adware.Virtumonde.Ha gefunden
    Avast
    Keine Viren gefunden
    AVG Antivirus
    Keine Viren gefunden
    BitDefender
    MemScan:Trojan.Vundo.AJ gefunden
    ClamAV
    Trojan.Packed-7 gefunden
    Dr.Web
    Trojan.Virtumod gefunden
    F-Prot Antivirus
    Keine Viren gefunden
    F-Secure Anti-Virus
    not-a-virus:AdWare.Win32.Virtumonde.ha (4, 1, 400) gefunden
    Fortinet
    Adware/VirtuMonde gefunden
    Kaspersky Anti-Virus
    not-a-virus:AdWare.Win32.Virtumonde.ha gefunden
    NOD32
    Keine Viren gefunden
    Norman Virus Control
    Keine Viren gefunden
    Panda Antivirus
    Keine Viren gefunden
    Rising Antivirus
    Keine Viren gefunden
    VirusBuster
    Adware.Vundo.Gen!Pac.8 gefunden
    VBA32
    AdWare.Win32.Virtumonde.ha gefunden


    danke, habt alle ne bewertung! es sieht irgendwie ziemlich schlimm aus o0 soviele viren -.-
     
  10. 5. April 2007
    AW: Virus Problem, Antivir findet nichts

    Troj/Klone-J is a Trojan for the Windows platform.

    Troj/Klone-J includes functionality to access the internet and communicate with
    a remote server via HTTP.
    When first run Troj/Klone-J copies itself to <Windows>\winlogon.exe.
    The following registry entry is created to run Troj/Klone-J on startup:
    HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
    nvchost <Windows>\winlogon.exe
    Registry entries are created under:
    HKLM\SOFTWARE\Microsoft\Nvchost\

    den zu entfernen dürfte nicht das größte problem werden.

    1. prüfe ob die datei <Windows>\winlogon.exe vorhanden ist und teste sie ebenfalls bei jotti oder virustotal
    ebenfalls teste diese datei
    C:\WINDOWS\system32\browseui.dll
    wenn sie als "Klone.J" erkannt wird, behandle diese datei ebenso wie die winlogon.exe im windows verzeichnis (nicht im windows\system32\* verzeichnis)



    2. starte hijackthis.
    in der mixxed tools bereich findest du die option dateien beim nächsten neustart zu löschen.
    dort trägst du diese dateien ein.
    C:\WINDOWS\winlogon.exe (-wenn sie ebenfalls infiziert ist)
    C:\WINDOWS\system32\cowhoars.dll

    wenn BEIDE dateien eingetragen sind, lässt du dein system durch hijackthis neustarten.

    dann wiederholst du den scan mit hijackthis wie oben und markierst diese einträge

    Code:
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {084CE43E-7C80-43F9-8FA1-E53F8624CBFB} - C:\WINDOWS\system32\pmnlm.dll
O2 - BHO: (no name) - {0CCA5B29-E5B3-4095-866B-54CEBD3CA6D8} - C:\WINDOWS\system32\cowhoars.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {68218620-3D65-43F6-AD47-D38D84B5412A} - C:\WINDOWS\system32\ssqqppp.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll

O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - Winlogon Notify: pmnlm - C:\WINDOWS\system32\pmnlm.dll
O20 - Winlogon Notify: ssqqppp - C:\WINDOWS\SYSTEM32\ssqqppp.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe (file missing)
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: MSSQL$SONY_MEDIAMGR - Unknown owner - C:\Programme\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe (file missing)

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Programme\WinPcap\rpcapd.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SQLAgent$SONY_MEDIAMGR - Unknown owner - C:\Programme\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlagent.EXE (file missing)

O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe

--

    also du setzt einen Haken in der kleinen Box in hijackthis und drückst unten auf den button fixxed checked.

    dann startest du den rechner neu, und zeigst mir ein neues hijackthis file.

    dann zeige ich dir, wie du virtuamonde bzw vunde entfernen kannst.
    das ist ein wenig komplizierter und hat nicht umsonst einen eintrag bei
    Vundofix
    bekommen.

    -> lass dir dabei aber von mir helfen.


    viel effektiver wäre es, wenn du dein system neu aufsetzt.
    hier gibt es die notwendigen sicherheitshinweise,
    Anleitung - Neuaufsetzen des Systems und anschliessende Absicherung! - Trojaner-Board

    und in meiner faq, (habe ich die wiederholt) findest du auch noch ein paar tipps, wie du mehr aus deinem system herausholen kannst, und es dir ein wenig leichter machen kannst.
     
  11. 6. April 2007
    AW: Virus Problem, Antivir findet nichts

    danke danke danke, ich habe alles gemacht nur
    einfach löschen die datei, oder was muss ich tun? bin leicht überfragt...

    und die winlogon.exe existierte bei mir nicht, browseui.dll war nicht infiziert.

    edit: achja diesen vundofix, kann ich da einfach nach dem tut arbeiten?
     
  12. 9. April 2007
    AW: Virus Problem, Antivir findet nichts

    Code:
    Logfile of HijackThis v1.99.1
Scan saved at 18:53:28, on 04.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programme\AlienGUIse\wbload.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\DAEMON Tools\daemon.exe
C:\Programme\AGEIA Technologies\TrayIcon.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\QIP\qip.exe
C:\Programme\SFT Loader\leecher.exe
D:\Programme\Teamspeak2_RC2\TeamSpeak.exe
D:\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O2 - BHO: (no name) - {4DBDB02B-5B38-4F9E-BADC-A2EF1407BB68} - C:\WINDOWS\system32\pmnlm.dll (file missing)
O2 - BHO: (no name) - {68218620-3D65-43F6-AD47-D38D84B5412A} - C:\WINDOWS\system32\ssqqppp.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [DAEMON Tools] "D:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AGEIA PhysX SysTray] C:\Programme\AGEIA Technologies\TrayIcon.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundService] rundll32.exe "C:\WINDOWS\system32\rrpbabsl.dll",setvm
O4 - HKCU\..\Run: [Steam] "d:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: ssqqppp - C:\WINDOWS\SYSTEM32\ssqqppp.dll
O20 - Winlogon Notify: WB - D:\Programme\AlienGUIse\fastload.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
    sorry ganz vergessen, hoffe du kannst mir noch helfen!
     
  13. 9. April 2007
    AW: Virus Problem, Antivir findet nichts

    Sieht nicht gerade gut aus...

    Führ den Befehl in der Konsole aus, und poste hier die textdatei.

    netstat -a -n >c:\test.txt
     
  14. 10. April 2007
    AW: Virus Problem, Antivir findet nichts

    das sind alles ip's... ich weiß nit ob ich die hier so veröffentlichen möchte...wer weiß
     
  15. 10. April 2007
    AW: Virus Problem, Antivir findet nichts

    deine online-ip steht aber normalerweise nicht da drin.
     
  16. 10. April 2007
    AW: Virus Problem, Antivir findet nichts

    sooo


    habs geschafft, die datei ist weg !

    danke nochmal an ALLE! habt alle ne bewertung bekommen.


    mfg
     
  17. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.