Hallo allerseits,

bin in England zum Studieren, logge mich in der Bibliothek mit meinem Laptop ins Uni-Netz ein. Jetzt habe ich mir wohl was eingefangen. Beim Browserstart öffnet sich ein Popup von itrack.ilead.it.

Hier meine HijackThis Logfile. Was tun? Vielen Dank für eure Hilfe...

Logfile of HijackThis v1.98.2
Scan saved at 11:47:15, on 21.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\Acer\Notebook Manager\almxptray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ppqvihpu.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Tevion\ScanWizard 5\ScannerFinder.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Dokumente und Einstellungen\Johannes\Desktop\Virus Infection\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.acer.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.t-online.de/service/redir/tosw5_webtour.htm
O2 - BHO: LocalNRDObj Class - {00320615-B6C2-40A6-8F99-F1C52D674FAD} - C:\WINDOWS\localNRD.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programme\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft media services] winmplayer.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [syveiyezn] C:\WINDOWS\system32\ppqvihpu.exe
O4 - HKLM\..\Run: [conscorr] C:\WINDOWS\conscorr.exe
O4 - HKLM\..\RunServices: [Microsoft media services] winmplayer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Tevion Scanner Finder.lnk = C:\Programme\Tevion\ScanWizard 5\ScannerFinder.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097576291198
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...97/mcfscan.cab

Hallo Jalapeno,

lade bitte den eScan runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus.

Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Die Malware muss von Hand gelöscht werden.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen."

SD

So, vielen Dank erst mal für die Hilfe. Melde mich erst heute wieder, weil ich gestern keine Gelegenheit mehr hatte, den Escan runterzuladen. Hier also das (erschreckende) Ergebnis:

File C:\WINDOWS\system32\ppqvihpu.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\conscorr.exe infected by "TrojanDownloader.Win32.Stubby.c" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\conscorr.exe infected by "TrojanDownloader.Win32.Stubby.c" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\ppqvihpu.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\ppqvihpu.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\conscorr.exe infected by "TrojanDownloader.Win32.Stubby.c" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\Downloaded Program Files\sp.exe infected by "Trojan.Win32.Spooner.f" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Johannes\Lokale Einstellungen\Temp\THI89A.tmp\polall1l.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Johannes\Lokale Einstellungen\Temp\conscorr.cab infected by "TrojanDownloader.Win32.Stubby.c" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Johannes\Lokale Einstellungen\Temp\conscorr.exe infected by "TrojanDownloader.Win32.Stubby.c" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Johannes\Lokale Einstellungen\Temporary Internet Files\Q3567836.exe infected by "TrojanDownloader.Win32.Small.dq" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\iehi\iehi.dll infected by "TrojanDownloader.Win32.Winshow.v" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\iehi\msiesh.dll infected by "TrojanDownloader.Win32.WinShow.q" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\Johannes\Anwendungsdaten\iehi\submit2.exe infected by "TrojanDownloader.Win32.Agent.az" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{11F32253-DDF1-49E0-BAAD-77B8F6DFC34F}\RP85\A0035440.dll infected by "TrojanDownloader.Win32.Agent.az" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{11F32253-DDF1-49E0-BAAD-77B8F6DFC34F}\RP85\A0035442.exe infected by "Trojan.Win32.Spooner.f" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{11F32253-DDF1-49E0-BAAD-77B8F6DFC34F}\RP92\A0040383.exe infected by "Trojan.Win32.LowZones.g" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{11F32253-DDF1-49E0-BAAD-77B8F6DFC34F}\RP93\A0040412.exe infected by "Trojan.Win32.LowZones.g" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{11F32253-DDF1-49E0-BAAD-77B8F6DFC34F}\RP93\A0040447.exe infected by "Trojan.Win32.LowZones.g" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{11F32253-DDF1-49E0-BAAD-77B8F6DFC34F}\RP93\A0040458.exe infected by "Trojan.Win32.LowZones.g" Virus. Action Taken: No Action Taken.

File C:\Recycled\Dc3.exe infected by "Trojan.Win32.LowZones.g" Virus. Action Taken: No Action Taken.

File C:\Recycled\Dc4.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File C:\Recycled\Dc5.dll infected by "TrojanDownloader.Win32.WinShow.u" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\localNRD.dll tagged as not-a-virus:AdWare.BiSpy.n. No Action Taken.

File C:\WINDOWS\localNRD.dll tagged as not-a-virus:AdWare.BiSpy.n. No Action Taken.

File C:\WINDOWS\preInsln.exe tagged as not-a-virus:AdWare.BiSpy.o. No Action Taken.

File C:\WINDOWS\localNRD.dll tagged as not-a-virus:AdWare.BiSpy.n. No Action Taken.

File C:\WINDOWS\preInsln.exe tagged as not-a-virus:AdWare.BiSpy.o. No Action Taken.

File C:\Dokumente und Einstellungen\Johannes\Lokale Einstellungen\Temp\THI89A.tmp\localNrd.cab tagged as not-a-virus:AdWare.BiSpy.n. No Action Taken.

File C:\Dokumente und Einstellungen\Johannes\Lokale Einstellungen\Temp\THI89A.tmp\localNRD.dll tagged as not-a-virus:AdWare.BiSpy.n. No Action Taken.

File C:\Dokumente und Einstellungen\Johannes\Lokale Einstellungen\Temp\THI89A.tmp\preInsln.exe tagged as not-a-virus:AdWare.BiSpy.o. No Action Taken.

File C:\Dokumente und Einstellungen\Johannes\Lokale Einstellungen\Temp\ln_reco.exe tagged as not-a-virus:AdWare.BetterInternet. No Action Taken.

1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen und vorher überprüfen, ob sie Spyware oder Adware enthalten können
9) ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen
10) Nicht gleich alle Programme, die früher installiert waren, sofort erneut aufs System lassen, sondern zuerst informieren, ob sie Spy/Adware enthalten

Hi und danke erstmal für die Antwort.

Zitat:

Zitat von *Christian*

1.) Neu formatieren und installieren

Das wird schwierig. Bin wie gesagt in England, die OEM-Windows XP-CD, die bei meinem Laptop dabei war, ist aber leider in Deutschland. Geht es auch ohne Neuinstallation? Auch wenn es stressig werden könnte, ist es rein theoretisch möglich? Und wenn ja, wie? Sorry, aber wie ihr sicher schon gemerkt habt bin ich so etwas wie ein Laie auf diesem Gebiet.

Hallo Jalapeno,

es ist rein theoretisch möglich, man kann zum einen die Viren löschen und zum zweiten versuchen, das System zu reinigen. Ich würde vorschlagen, wir beginnen damit, Dein System von den Viren zu befreien. Du musst aber wissen, dass Dein System kompromittiert ist. Das bedeutet, dass Dein Rechner in der Hand von jemand anderen sein kann. Du hast einen der gefährlichsten Backdoors auf dem System.

Solltest Du Dich also mit online-banking oder wichtigen und vertraulichen Angelegenheiten per Computer befassen, schau dass Du all diese Daten vom System entfernst und auf Diskette/CD speicherst. Und hier nun ein bisschen Information zu Backdoor.Win32.Rbot.gen und Win32.Rbot.gen -> "Erläuterung" beachten.

Wir werden versuchen die Viren von Deinem System zu entfernen.

Da eScan die Viren nicht automatisch löscht, wirst Du sie von Hand löschen müssen. Dazu solltest Du erstmal dafür sorgen, dass Du alle Dateien und Einträge siehst:

Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren (Zitat Cidre) und die Option "Geschütze Systemdatein ausblenden (empfohlen)" abschalten. (Zitat Warhawk)

Da Du windowsXP als BS verwendest, musst Du alle Löscharbeiten im abgesicherten Modus mit deaktivierter Systemwiederherstellung erledigen. Tust Du es nicht, stellen sich alle gefixten oder gelöschten Einträge bei einem Neustart des Computers wieder her. Wenn Du die "Löscharbeiten" beendest, kannst Du wieder in den normalen Modus starten und die Systemwiederherstellung aktivieren.

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung. "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" [Zitat Cidre]

Du suchst Dir also in diesem Beispiel Deiner Virensammlung in der mwav.log diesen file, markierst die "ppqvihpu.exe" überträgst sie in die Windows Suche und löscht sie. Und das machst Du bitte mit allen Viren (infizierten Dateien).

File C:\WINDOWS\system32\ppqvihpu.exe infected by "TrojanDownloader.Win32.Agent.ae" Virus.

Melde Dich, wenn Du damit fertig bist.

SD

Hi Shadowdance,

danke für die ausführliche Anleitung. Ich habe jetzt alles im abgesicherten Modus gelöscht, was der Escan gefunden hatte. Lasse ihn gerade noch mal scannen, um zu sehen, ob er wieder was findet.

Habe mir inzwischen SpyWareGuard und SpyWareBlaster sowie AntiVir installiert. Und bin vom InternetExplorer auf Firefox umgestiegen. Was nun?

Vielen Dank,

Jalapeno

[EDIT] Neuer Scan zeigt immer noch eine Datei an:

File C:\Dokumente und Einstellungen\Johannes\Lokale Einstellungen\Temporary Internet Files\Q3567836.exe infected by "TrojanDownloader.Win32.Small.dq" Virus. Action Taken: No Action Taken.

Allerdings finde ich diese Datei nicht. Obwohl ich versteckte und Systemdateien anzeigen lasse. Auch über die Windowssuche findet man die Datei nicht. Bin etwas ratlos. [/EDIT]

@Jalapeno
lade dir clearprog
www.clearprog.de
laufen lassen, und neu booten

chaosman

Vielen Dank,

habe ich getan. Jetzt findet der Escan nichts mehr. Darf ich also davon ausgehen, dass mein System sauber ist?

@Jalapeno

poste doch mal ein neues log
hier etwas literatur
http://oschad.de/wiki/index.php/Virenscanner
chaosman

Mach ich doch glatt:

Logfile of HijackThis v1.98.2
Scan saved at 12:29:39, on 26.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Launch Manager\QtZgAcer.EXE
C:\Programme\Acer\Notebook Manager\almxptray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Tevion\ScanWizard 5\ScannerFinder.exe
C:\Programme\SpywareGuard\sgmain.exe
C:\Programme\SpywareGuard\sgbhp.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office\WINWORD.EXE
C:\Dokumente und Einstellungen\Johannes\Desktop\Virus Infection\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.acer.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Programme\SpywareGuard\dlprotect.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE
O4 - HKLM\..\Run: [AcerNotebookManager] C:\Programme\Acer\Notebook Manager\almxptray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Startup: SpywareGuard.lnk = C:\Programme\SpywareGuard\sgmain.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Tevion Scanner Finder.lnk = C:\Programme\Tevion\ScanWizard 5\ScannerFinder.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1097576291198
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...97/mcfscan.cab

Schaut eigentlich sauber aus.