Hallo

Hab mich schon fast wund gelesen auf Eurem Board. Doch leider komme ich nicht weiter. Vielleicht fällt jemandem etwas zur Problemlösung ein.

Bei meinem letzten Virenscan hab ich festgestellt, daß ich ein Virus in Form einer Datei UpdInst.exe im Verzeichnis C:\WINDOWS\system\ gefunden und gelöscht habe.

Norton Antivirus meldete nu 40 Dateien (alles *.dll) im Windows/system32 Ordner. Diese Dateien habe ich mit NAV entfernt/gelöscht. Von NAV wurden die *.dlls als Adware-Bedrohung ausgewiesen in Form von Look2Me. Infos dazu hab ich auf Symantec-HP gefunden.

Nach jedem Neustart des Systems werden neue dlls erzeugt, mit einem anderen Namen versehen. Die Dateien lassen sich auch immer im Verzeichnis Windows/System32 lokalisieren. Bei jedem Versuch die Dateien zu löschen wird eine Fehlermeldung ausgegeben, daß die Dateien gerade verwendet werden und nicht gelöscht werden können. Mit dem Programm Ewido hab ich das gleiche Problem. Die dlls werden beim starten von Windows neu erzeugt und in den Hauptspreicher geladen. Dort kann man sie lokalisieren aber nicht löschen.

Das gleiche passiert bei Spybot und bei HJT. Mit dem Programm Process Explorer kann man sehen, daß die Dateien mit dem Explorer geladen werden. Allerdings kann ich ihn nicht beenden um die dateien zu löschen, da ich dann keine Funktionen ausführen kann. Ich hab auch schon versucht den Explorer in einem eigenen Prozess zu starten. Doch jedesmal wenn ich den Prozess beende kann ich im WinXP nix mehr machen.

Ich habe auch schon Tips hier vom Board ausprobiert und mir Killbox heruntergeladen. Leider hab ich dann das Problem das irgendetwas eine neue dll erzeugt (und auch noch mit neuem Namen). Das bedeutet, daß ich nicht mal unter der Eingabeaufforderung diese Datei lokalisieren kann, weil sie ja beim nächsten Start anders heißt. Den Tip fand ich hier http://board.protecus.de

Mit dem Onlinescanner von TrendMirco HouseCall hab ich allerdings keine Bedrohung gefunden. Wahrscheinlich kennt er diesen Virus nicht. Adaware findet die Dateien und kann sie ebenfalls nicht löschen.

Was können die Dateien evtl. für ein Schaden anrichten ?

Danke schonmal vorab für die Hilfe

Gruß gr-storm

@gr-storm
poste doch ein HJT logfile
http://www.trojaner-board.de/showthread.php?t=17493


chaosman

thx @ chaosman

hier mein logfile

Logfile of HijackThis v1.99.1
Scan saved at 22:05:20, on 11.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Toolz\ewido\security suite\ewidoctrl.exe
C:\Toolz\ewido\security suite\ewidoguard.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Kerio\Personal Firewall\persfw.exe
C:\Programme\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Toolz\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Toolz\Tweak-XP Pro\tranicon.exe
C:\Toolz\ASUS\SmartDoctor\SmartDoctor.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\NT_USDM.exe
C:\Toolz\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Avant Browser\avant.exe
C:\Toolz\Hijack this\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ********edit**************/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Toolz\SPYBOT~1\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Toolz\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [TransparentIcons] "C:\Toolz\Tweak-XP Pro\tranicon.exe" -ex
O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Toolz\ASUS\SmartDoctor\SmartDoctor.exe /start
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\nbj.exe"
O4 - Startup: NT_USDM.LNK = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - **********edit******************
O17 - HKLM\System\CCS\Services\Tcpip\..\{A665EE6F-4446-4CCB-807F-50D531EA33F4}: NameServer = 217.237.151.161 217.237.151.33
O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\q268lcju1fo8.dll
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido security suite control - ewido networks - C:\Toolz\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Toolz\ewido\security suite\ewidoguard.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag (OODefrag) - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Toolz\T-DSL SpeedManager\tsmsvc.exe

Hallo gr-storm,

fixe diesen Eintrag und lösche anschließend die darin enthaltene Datei:
O20 - Winlogon Notify: App Management - C:\WINDOWS\system32\q268lcju1fo8.dll

Lade und installiere Silent Runners.vbs gemäss der Anleitung und poste dann das Log-File.

hallo cidre,

mittlerweile hab ich schon selbst versucht in der Registry zu flicken. Trotzdem vielen Dank für Eure Hilfe. Das löschen mit HJT hat mich nicht weitergebracht. Weil dies eine dynamisch erzeugte dll ist, die ich hinterher sowieso löschen kann, aber beim nächsten Starten wieder eine anderslautende dll generiert wird.

Also ich schätze eigentlich meine Kenntnisse als Fortgeschritten ein. allerdings werde ich da ich diese Adware nicht losbekomme jetzt doch formatieren. Hab mittlerweile wirklich fast alles ausprobiert und bin nicht weiter gekommen. Die dlls die beim starten in den Speicher geladen werden bekomm ich einfach nicht weg. Killbox bringt mich auch nicht weiter, da die dlls dynamisch erzeugt werden und ich somit beim starten nie den Namen herausbekomme. Den sieht man erst wenn man gebootet hat. Eine dll ist auch immer mit dem explorer.exe verknüpft, sodaß ich wenn ich diesen mit dem Taskmanager beende nichts mehr machen kann.

Also dieser Schädling ist echt schon sehr heftig.

Ich glaub ich muss mich jetzt mal an der Diskussion "entfernen oder neuinstallieren" beteiligen. In diesem Fall kann ich nur sagen neuinstallen.

Nochmal vielen Dank für Eure Hilfe!

Hi,

hab mich mit der ollen dynamischen DLL auch ne weile rumgeschlagen. Ist echt penetrant, aber ich hab auch eine sehr einfache (etwas brutale) Art gefunden, diese loszuwerden.

Man nehme: 1 Windoof-CD (vorzugsweise passend zum System, aber xp-pro geht auch bei xp-home), 1 x HijackThis

Man tue: Windoof normal booten, dann Systemwiederherstellung aus (btw. man sollte ohnehin die ganze alte Sch..... der Wiederherstellung löschen. Wie? Schreib ich unten noch.). Nun einmal HijackThis NUR scannen lassen, dem Schlüssel mit Winlogon-blabla entnehmen, welche DLL diesmal die "Böse" ist und dann: PC radikal ausschalten, soll heissen, am besten einfach Strom weg. Ist brutal, aber so hat die DLL keine Chance sich zu modifizieren. Anschliessend schmeisst man die XP-CD ein und bootet von eben dieser (sollte Windoof normal booten, dann nachschauen, ob Bootreihenfolge richtig, und VOR ALLEM: dann die Prozedur von vorne, weil die DLL sich in diesem Fall bereits verändert hat!). Jetzt kommt irgendwann die Frage, ob man Windoof installieren will oder ob man in die Reparaturkonsole will, ab gehts in die Konsole. Am Prompt wechselt man in das system32-Verzeichnis. Hier gibt man folgende Befehle ein: attrib -r XYZ.DLL (wobei XYZ.DLL natürlich unsere böse DLL ist). Als nächstes folgt: attrib -s XYZ.DLL (komischerweise wollte attrib in der Konsole nicht beide Parameter auf einmal annehmen...). Nun der superspannende Teil: del XYZ.DLL (sollte das nich zum erfolg führen, dann beim neuen versuch die DLL erst in irgendwas anderes umbenennen und das dann löschen, hat bei mir tatsächlich erst danach geklappt, auch wenns nich logisch ist...). Jetzt wieder Strom weg, nicht einfach ausschalten. Nun Windows normal neu starten, HijackThis anschauen, dort sollte jetzt hinter dem Winlogon-Eintrag stehen ...file missing... Wenn das der Fall ist, markieren und von HijackThis fixen lassen und der Zauber ist vorbei.

Wichitg ist, dass ihr wirklich den Strom abschaltet und nicht runterfahrt, sonst is das alles für die Katz. Und das ganze hier gilt NUR, wenn ausschliesslich noch die olle DLL rumspinnt, sollten die anderen Teile von Look2me noch da sein, dann bringts nich viel (also der Kram, den Norton findet zum Beispiel...)

Ach so, wer leidn will, kann nun die blöde Syswiederherstellung wieder antun.

Und noch zum Löschen der alten "ich bau den Virus da wieder hin"-Wiederherstellungspunkte:

Start-Programme-Zubehör-Datenträgerbereinigung

auf Registerkarte "Erweitert", dort auf Sys-wiederherstellungspunkte löschen und anschliessend auf OK, kommt noch ne Sicherheitsabfrage, dann sind die weg (<<wo sie hingehören, jedenfalls die verwanzten...)

Viel Erfolg!

^^Wer Fehler findet, darf sie liebend gern behalten!