"security alert: networm-i.virus@fp"

Atoll · 15.11.2007, 15:03

So, hallo erstmal.

Ich habe ein anscheinend momentan bei einigen Leuten auftauchendes Problem, das hier auch schon gepostet wurde, aber eine mir helfende Lösung habe ich nicht gefunden.

Nachdem ich Daemon Tools Pro installiert hatte, ein Freund namens Dr. Albert Torränt hat es mit geschenkt.., und später dann runterverfahren wollte, kam eine Anzeige, "xpcom event manager" oder so reagiere nicht mehr. Am nächsten Tag Rechner an und gleich mal unten das gelbe Dreieck "security alert: networm-i.virus@fp" woraufhin sich Browser öffnen und mir sagen, wie infiziert mein Rechner doch sei, was er tatsächlich auch ist. Online Security Guide und Life Safety Center existieren auf einmal auf dem Desktop und erscheinen nach dem löschen erneut. Ähnliche Alerts erscheinen bei dem Dreieck immer wieder etc. So, viel Gelaber; hier die Logs:

_________________________________________________________________
Erstmal eScan:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.5.5
Sprache: German
Virus-Datenbank Datum: 11/12/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "netpumper Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde

durchgeführt: Keine Aktion vorgenommen.
Object "mediaadvantage Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde

durchgeführt: Keine Aktion vorgenommen.
Object "mediaadvantage Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde

durchgeführt: Keine Aktion vorgenommen.
Object "mediaadvantage Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde

durchgeführt: Keine Aktion vorgenommen.
Object "netpumper Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde

durchgeführt: Keine Aktion vorgenommen.
Object "netpumper Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde

durchgeführt: Keine Aktion vorgenommen.
Object "netpumper Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde

durchgeführt: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({602d9049-b4ac-4a25-bf75-

a9b54d747cba})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({69e0089f-28bc-4bb5-862b-

e2b07c3b83c6})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({dabf362d-d442-4402-9208-

ca9ed70dd01e})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({5ac3a9ef-c0f8-41d4-b4e2-

b7cebb794151})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({862def42-89aa-49fa-ae1f-

8a84b1b08a17})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({f6e4845d-1d13-4bc0-942d-

b9191524cc48})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware ({69e0089f-28bc-4bb5-862b-

e2b07c3b83c6})! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware

(C:\Programme\advantage\advantage.htm)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\tr.dll)! Action

taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware

(C:\Programme\advantage\advantage.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\PROGRA~1\ADVANT~1)! Action

taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\ffext.mod)!

Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware

(C:\Programme\advantage\advantage.db)! Action taken: Keine Aktion vorgenommen.
System found infected with mediaadvantage Spyware/Adware (C:\Programme\advantage\user.db)!

Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\system32\__c00631B2.dat//PE_Patch.UPX//UPX infiziert von "Trojan-

Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\__c00631B2.dat//PE_Patch.UPX//UPX infiziert von "Trojan-

Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\pyvqvbuq.exe infiziert von "Trojan.Win32.Obfuscated.kp" Virus. Aktion

vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\mstse.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion

vorgenommen.
Datei C:\WINDOWS\system32\ephlqhvi.dll//PE_Patch.UPX//UPX infiziert von "Trojan-

Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\pyvqvbuq.exe infiziert von "Trojan.Win32.Obfuscated.kp" Virus. Aktion

vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\__c00631B2.dat//PE_Patch.UPX//UPX infiziert von "Trojan-

Downloader.Win32.ConHook.hl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Manfred Mustermann\Desktop\unaufge\DAEMON Tools Pro-

V4.10.0218[CLEAN]\crack\DAEMON Tools v4.10.EXE//data0000.cab/wr-1-

922.exe//PE_Patch.Upolyx//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.Small.gll" Virus.

Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Manfred Mustermann\Desktop\unaufge\DAEMON Tools Pro-

V4.10.0218[CLEAN]\DTPro4100218Basic.exe//data0000.cab/wr-1-

922.exe//PE_Patch.Upolyx//PE_Patch.UPX//UPX infiziert von "Trojan-Downloader.Win32.Small.gll" Virus.

Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Programme\advantage\advantage.htm
Offending file found: C:\Programme\advantage\tr.dll
Offending file found: C:\Programme\advantage\advantage.exe
Offending file found: C:\PROGRA~1\ADVANT~1
Offending file found: C:\Programme\advantage\ffext.mod
Offending file found: C:\Programme\advantage\advantage.db
Offending file found: C:\Programme\advantage\user.db
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\netpumper
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\netpumper
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start

menu2\programs\netpumper !!!
Offending Key found: HKCR\mead.1 !!!
Offending Key found: HKCR\tr.trfactory !!!
Offending Key found: HKCR\tr.trfactory.1 !!!
Offending Key found: HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\StartupReg\netpumper !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\Manfred Mustermann\Anwendungsdaten\uTorrent\utorrent.lng nicht

gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 90886
Gefundene Viren: 30
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 73
Dauer des Scans bisher: 00:50:31
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 14:27:14,32
Batchende: 14:27:26,04

_______________________________________________________
Dann der Hijack-Log:

Logfile of HijackThis v1.99.1
Scan saved at 15:00:01, on 15.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\M-Audio MA_CMIDI\MA_CMIDI_Inst.exe
C:\Programme\PC-Zeit\trap.exe
C:\Programme\Googlemail Notifier\gnotify.exe
C:\WINDOWS\system32\DeltTray.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\notepad.exe
C:\Dokumente und Einstellungen\Manfred Mustermann\Desktop\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} -

C:\WINDOWS\system32\dknnsptj.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [pczeit] "C:\Programme\PC-Zeit\trap.exe"
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Programme\Googlemail

Notifier\gnotify.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DeltTray] DeltTray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [083b2e08] rundll32.exe "C:\WINDOWS\system32\dufiocki.dll",b
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\WIDCOMM\Bluetooth

Software\btsendto_ie_ctx.htm
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1

\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} -

C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} -

C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

h..p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?

1165927517781
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) -

h..p://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) -

h..p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?

1165928031609
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -

h..p://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\__c00631B2.dat
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth

Software\bin\btwdins.exe
O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\pyvqvbuq.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame

Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: M-Audio CMIDI Installer (MA_CMIDI_InstallerService) - Unknown owner -

C:\Programme\M-Audio MA_CMIDI\MA_CMIDI_Inst.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32

\nvsvc32.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe

Ich wäre euch sehr dankbar, wenn jemand mal drüber schauen könnte.

Liebe Grüße
Anatole

Noch als kleiner Edit:

Das fehlende "C:\WINDOWS\system32\pyvqvbuq.exe" war seit ich das Problem im Task-Manager zu sehen. Bei msconfig konnte man es nicht aus dem Autostart nehmen, also hab ich es im abgesicherten Modus gelöscht. Vielleicht war das ja auch doof, aber eigentlich dürfte es ja nicht stören, wenn eine böse Datei weniger auf meinem Rechner ist. Im Gegenteil.

Chris4You · 15.11.2007, 15:47

Hi,

wahrscheinlich war/ist Dein per Torrent gezogener "Damon" der Übeltäter und hat Dir den Trojaner untergemogelt, der dann den Rest nach sich gezogen hat....

Folgende Dateien online prüfen lassen, poste die Ergebnisse mit Filename (nicht erkannt Files unten rausnehmen (AVENGER)):
C:\WINDOWS\system32\dknnsptj.dll
C:\WINDOWS\system32\dufiocki.dll
C:\WINDOWS\system32\__c00631B2.dat
C:\WINDOWS\system32\ephlqhvi.dll
VirusTotal - Free Online Virus and Malware Scan
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen

Danach bitte Avenger (wenn die Files erkannt worden sind):
Avenger
avenger.zip - The Avenger
Input script manually (anhaken)
kopiere in: View/edit script

Zitat:

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|083b2e08

Registry values to replace with dummy:
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

Files to delete:
C:\WINDOWS\system32\dknnsptj.dll
C:\WINDOWS\system32\dufiocki.dll
C:\WINDOWS\system32\__c00631B2.dat
C:\WINDOWS\system32\ephlqhvi.dll
C:\Dokumente und Einstellungen\Manfred Mustermann\Desktop\unaufge\DAEMON Tools Pro-V4.10.0218[CLEAN]\crack\DAEMON Tools v4.10.EXE

Folders to delete:
C:\Programme\advantage

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten.
Abgesicherter Modus, keine anderen Programme, Teatimer deaktiviert

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Zitat:

O23 - Service: DomainService - Unknown owner - C:\WINDOWS\system32\pyvqvbuq.exe (file missing)
O4 - HKLM\..\Run: [083b2e08] rundll32.exe "C:\WINDOWS\system32\dufiocki.dll",b
O8 - Extra context menu item: Download with NetPumper - C:\Programme\NetPumper\AddUrl.htm
O3 - Toolbar: Security Toolbar - {11A69AE4-FBED-4832-A2BF-45AF82825583} -

Chris

Atoll · 16.11.2007, 21:18

Hi Chris! Erstmal danke für die Hilfe!

Hier die VirusTotal-Ergebnisse(schön hab ich sie nicht hinbekommen, sry):

C:\WINDOWS\system32\dknnsptj.dll

Antivirus Version Last Update Result
AhnLab-V3 2007.11.17.0 2007.11.16 -
AntiVir 7.6.0.34 2007.11.16 TR/Vundo.CA
Authentium 4.93.8 2007.11.16 -
Avast 4.7.1074.0 2007.11.15 -
AVG 7.5.0.503 2007.11.16 Obfustat.VTX
BitDefender 7.2 2007.11.16 Adware.Virtumonde.GHI
CAT-QuickHeal 9.00 2007.11.16 -
ClamAV 0.91.2 2007.11.16 -
DrWeb 4.44.0.09170 2007.11.16 -
eSafe 7.0.15.0 2007.11.14 -
eTrust-Vet 31.2.5300 2007.11.16 -
Ewido 4.0 2007.11.16 -
FileAdvisor 1 2007.11.16 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.16 -
F-Secure 6.70.13030.0 2007.11.16 -
Ikarus T3.1.1.12 2007.11.16 not-a-virus:AdWare.Win32.SecToolBar.k
Kaspersky 7.0.0.125 2007.11.16 not-a-virus:AdWare.Win32.SecToolBar.k
McAfee 5165 2007.11.16 -
Microsoft 1.3007 2007.11.12 -
NOD32v2 2664 2007.11.16 Win32/Adware.SecToolbar
Norman 5.80.02 2007.11.16 W32/Virtumonde.IIT
Panda 9.0.0.4 2007.11.16 Spyware/Virtumonde
Prevx1 V2 2007.11.16 Trojan.Zlob
Rising 20.18.40.00 2007.11.16 -
Sophos 4.23.0 2007.11.16 -
Sunbelt 2.2.907.0 2007.11.16 -
Symantec 10 2007.11.16 Trojan.Vundo
TheHacker 6.2.9.132 2007.11.16 Trojan/BHO.ui
VBA32 3.12.2.5 2007.11.16 -
VirusBuster 4.3.26:9 2007.11.16 Adware.Vundo.V.Gen
Webwasher-Gateway 6.0.1 2007.11.16 Trojan.Vundo.CA

C:\WINDOWS\system32\__c00631B2.dat

Antivirus Version Last Update Result
AhnLab-V3 2007.11.17.0 2007.11.16 -
AntiVir 7.6.0.34 2007.11.16 TR/Dldr.Agen.ZV.1.B
Authentium 4.93.8 2007.11.16 -
Avast 4.7.1074.0 2007.11.15 -
AVG 7.5.0.503 2007.11.16 Downloader.Small.AVS
BitDefender 7.2 2007.11.16 Trojan.Downloader.Conhook.BI
CAT-QuickHeal 9.00 2007.11.16 TrojanDownloader.ConHook.hl
ClamAV 0.91.2 2007.11.16 Trojan.Downloader-16191
DrWeb 4.44.0.09170 2007.11.16 -
eSafe 7.0.15.0 2007.11.14 suspicious Trojan/Worm
eTrust-Vet 31.2.5300 2007.11.16 Win32/Darksma.FR
Ewido 4.0 2007.11.16 Downloader.ConHook.hl
FileAdvisor 1 2007.11.16 -
Fortinet 3.11.0.0 2007.10.19 -
F-Prot 4.4.2.54 2007.11.16 W32/Downldr2.AILP
F-Secure 6.70.13030.0 2007.11.16 Trojan-Downloader.Win32.ConHook.hl
Ikarus T3.1.1.12 2007.11.16 Trojan-Downloader.Win32.ConHook.hl
Kaspersky 7.0.0.125 2007.11.16 Trojan-Downloader.Win32.ConHook.hl
McAfee 5165 2007.11.16 Vundo
Microsoft 1.3007 2007.11.12 -
NOD32v2 2664 2007.11.16 Win32/TrojanDownloader.Agent.NSM
Norman 5.80.02 2007.11.16 W32/ConHook.GT
Panda 9.0.0.4 2007.11.16 Adware/PurityScan
Prevx1 V2 2007.11.16 Trojan.Zlob
Rising 20.18.40.00 2007.11.16 Trojan.DL.Win32.ConHook.hl
Sophos 4.23.0 2007.11.16 Troj/Conhook-AK
Sunbelt 2.2.907.0 2007.11.16 -
Symantec 10 2007.11.16 Downloader
TheHacker 6.2.9.132 2007.11.16 Trojan/Downloader.ConHook.hl
VBA32 3.12.2.5 2007.11.16 Trojan-Downloader.Win32.ConHook.hl
VirusBuster 4.3.26:9 2007.11.16 Trojan.DL.ConHook.CN
Webwasher-Gateway 6.0.1 2007.11.16 Trojan.Dldr.Agen.ZV.1.B

Die anderen beiden sind entweder von mir manuell gelöscht worden - was ich ja schon geschrieben hatte und was villeicht blöd war - oder durch Spybot etc. entfernt.

Jetzt mal Avanger machen.

Ich berichte danach.

Danke und liebe Grüße
Anatole

Atoll · 16.11.2007, 22:55

So, ich hab den Avanger nun auch ausgeführt und der Rechner hat zwar nicht im Abgesicherten Modus rebootet - vielleicht hätte ich's manuel machen sollen? - aber nachdem ich dennoch mit HijackThis gefixt hab

: und Spybot und Adaware noch ein paar Dinge gesäubert haben, kommt jetzt seit etwa 20 Minuten kein Anzeichen von dem Virus, wie vorher alle 10 Sekunden etwa. Juhuu.

Mal sehen, ob das so bleibt. Ich lass mal noch eScan laufen und stelle ggf. das Log hoch.

Danke!!

Anatole

Atoll · 17.11.2007, 14:24

So, nächster Tag und das Dreieck blinkt wieder: "system alert: malware threats" blabla "networm-i.virus@fp", "system performance monitor: warning"Online Security Guide und Life Penis Center wieder auf dem Desktop. Escan- und Hijackthis-Log posten?

Grüße
Anatole

Chris4You · 19.11.2007, 07:25

Hi,

ja!
Hast Du Dir das über Internet geholt (tauchte das nach Besuch einer Page auf?). Anwendung installiert?

Welche Antiviren-SW hast Du und welche Firewall?

Chris

Atoll · 19.11.2007, 22:31

So! Ich glaube, er ist besiegt. Sind dauernd einige Dateien in system32 generiert worden. Durch mehrfaches Spybotten, Hijacken und Avengern und jetzt am Ende noch Vundofixen und Combofixen, LSP-Fixen sowie dauerndes leeren temporär gespeicherter Dateien (ATF-Cleaner) ist er jetzt so lahm, dass es nichts mehr macht und vielleicht weg ist. BitDefender Free Ed. und Pandascan haben auch ihre Teile beigetragen. Der Avenger hat oft geholfen, weil z.B. BitDefender oder HijackThis einige Dateien nicht löschen oder in Karantäne verschieben konnten.

Ich hab keine Firewall und Antivirenprogramme nur dann, wenn ich so wie jetzt ein ernsthaftes Problem habe. Sonst lasse ich immer nur ab und an Spybot und Ad-Aware SE laufen.

Beim Hijacken ging anfangs einiges weg, aber eine Security Toolbar blieb immer. Die ist jetzt auch weg.

Hier trotzdem nochmal der Log (die vielen missing files habe ich NICHT durch wahlloses Avengern verursacht, die kamen einfach, so wie auch plötzlich wieder die Windows Firewall aktiviert war. Oo ):

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\SCardSvr.exe
C:\Programme\PC-Zeit\trap.exe
C:\Programme\Googlemail Notifier\gnotify.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\Programme\Softwin\BitDefender10\bdagent.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\M-Audio MA_CMIDI\MA_CMIDI_Inst.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender10\vsserv.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdlite.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe (der ist auch plötzlich da)
C:\Dokumente und Einstellungen\Julia Musterfrau\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [pczeit] "C:\Programme\PC-Zeit\trap.exe"
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Programme\Googlemail Notifier\gnotify.exe
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDAgent] "C:\Programme\Softwin\BitDefender10\bdagent.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1165927517781
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - hxxp://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1165928031609
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - hxxp://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: M-Audio CMIDI Installer (MA_CMIDI_InstallerService) - Unknown owner - C:\Programme\M-Audio MA_CMIDI\MA_CMIDI_Inst.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender10\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Sieht doch eigentlich ganz ok aus. Mal sehen, was sich tut, wenn der Rechner ein paar weitere Stunden läuft.

Bin es am Ende ein bisschen autodidaktisch angegangen, aber die Grundlage habt ihr mir dennoch gegeben und oft hat auch einfach geholfen nach den bösen Dateien zu googeln (sowie etwa ..\system32\__c0088BC4.dat) und zu schauen, wie man die wegkriegt.

Besten Dank und liebe Grüße

Anatole

Ich meld mich nochmal, falls es weiterhin gut ist oder falls es nicht gut ist.

Chris4You · 20.11.2007, 07:37

Hi,

bitte noch die Systemwiederherstellung bereinigen!
http://www.systemwiederherstellung-deaktivieren.de/windows-xp.html
Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen(das sind die: C:\System Volume Information\_restore - Dateien die gefunden wurden, d.h. der Trojaner wurde mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt:

Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung ->
anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten;

Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder).

Einen ersten Restorepunkt setzten:
Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen

chris

"security alert: networm-i.virus@fp"

Plagegeister aller Art und deren Bekämpfung: "security alert: networm-i.virus@fp"