Multimpp.dll

Jerome2 · 24.10.2004, 18:53

Hallo,

habe ein Problem mit der Datei multimpp.dll und dem zugehörigen Trojaner/Virus was auch immer.

Auch wenn ich nach dekativieren der Systemwiederherstellung im abgesicherten Modus starte, den Eintrag per HijackThis lösche und die Datei von Hand entferne ist sie beim nächsten booten wieder da, wenn Internetzugang besteht.

Adaware neuste Version findet nichts und in HijackThis kann ich auch sonst nichts falsches erkennen.

Habe WindowsXP mit SP2 (ich hatte nie Probleme mit HiJackern oder so aber nach Installation von SP2 habe ich innerhalb von 4 Wochen jetzt zum fünften Mal so einen Scheiß. Ich dachte, dass das Sicherheitslücken behebt anstatt zu schaffen. Nur ließen die anderen sich wenigstens easy killen).

Hier nochmal der ganze HijackThis Log:

Logfile of HijackThis v1.98.2
Scan saved at 19:58:57, on 24.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\system32\pknnetc.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\PROGRA~1\ICQ\ICQ.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\System32\CTsvcCDA.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\LeechGet 2003\LeechGet.exe
D:\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://news.google.de/
O2 - BHO: MultimppObj Class - {002EB272-2590-4693-B166-FBD5D9B6FEA6} - C:\WINDOWS\multimpp.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [tvwizhkrk] C:\WINDOWS\system32\pknnetc.exe
O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RoboForm] "C:\Programme\Siber Systems\AI RoboForm\RoboTaskBarIcon.exe"
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Mit dem LeechGet Wizard laden - file://C:\Programme\LeechGet 2003\\Wizard.html
O8 - Extra context menu item: Mit LeechGet herunterladen - file://C:\Programme\LeechGet 2003\\AddUrl.html
O8 - Extra context menu item: Mit LeechGet parsen - file://C:\Programme\LeechGet 2003\\Parser.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: RF - &Formular speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - &Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - Formular ausf&üllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausf&üllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - &Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-S&ymbolleiste - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: ICQ 4.0 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096649448718
O17 - HKLM\System\CCS\Services\Tcpip\..\{7CC4630B-6B2F-43B3-B2FB-575D5C6E5BE9}: NameServer = 192.168.0.28
O17 - HKLM\System\CCS\Services\Tcpip\..\{F5A2172E-6535-4114-B3DA-F43E89D3A31A}: NameServer = 192.168.0.1

Vielen Dank für jede Hilfe!

Cidre · 24.10.2004, 18:58

Hallo,
erstelle ein neues Log-File mit der neuen Version 1.98.2 .

Überprüfe mal folgende Dateien bei http://virusscan.jotti.org/de
und poste das Ergebnis:
C:\WINDOWS\multimpp.dll
C:\WINDOWS\system32\pknnetc.exe

Jerome2 · 24.10.2004, 19:55

HJT Log unten.

C:\WINDOWS\system32\pknnetc.exe
OK

C:\WINDOWS\multimpp.dll
File: multimpp.dll
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.)
Packers detected: None

AntiVir TR/Hijack.MulltiPP (3.50 seconds taken)
Avast Win32:Adware-multiimp (4.60 seconds taken)
BitDefender No viruses found (2.97 seconds taken)
ClamAV Trojan.Spy.Bispy.O (3.20 seconds taken)
Dr.Web Trojan.Bispy (4.41 seconds taken)
F-Prot Antivirus security risk or a "backdoor" program (0.39 seconds taken)
Kaspersky Anti-Virus not-a-virus:AdWare.BiSpy.o (4.36 seconds taken)
mks_vir No viruses found (1.61 seconds taken)
NOD32 No viruses found (2.32 seconds taken)
Norman Virus Control No viruses found (1.13 seconds taken)

Cidre · 24.10.2004, 20:14

Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp

Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_xp.htm und fixe diese Einträge (Haken setzen und auf Fix Checked klicken):
O2 - BHO: MultimppObj Class - {002EB272-2590-4693-B166-FBD5D9B6FEA6} - C:\WINDOWS\multimpp.dll
O4 - HKLM\..\Run: [tvwizhkrk] C:\WINDOWS\system32\pknnetc.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

Lösche diese Dateien:
C:\WINDOWS\multimpp.dll
C:\WINDOWS\system32\pknnetc.exe

- mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.) und die Malware manuell entfernen http://www.trojaner-board.de/42731-escan-anleitung.html
- Neustart
- dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- neues Log-File von HijackThis und die Virus Log Information von eScan posten

Jerome2 · 24.10.2004, 22:23

So, alles durchgeführt.

Scheint geklappt zu haben.

Das HJT Log ist das gleiche nur ohne die beiden Einträge.

Das escan-log ist viel zu lang zum posten, oder nicht?

Es wurden auf jeden Fall noch über 30 infizierte Files gefunden die ich manuell gelöscht habe. Hätte ich ja echt nicht erwartet.

Diesen Beitrag schreibe ich bereits mit Firefox

Vielen Dank!

mfg

Lidius · 24.10.2004, 22:26

Du brauchst auch nicht das ganze escan log posten, mache folgendes:

Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum posten.

Cidre · 24.10.2004, 23:14

Zitat:

30 infizierte Files gefunden die ich manuell gelöscht habe. Hätte ich ja echt nicht erwartet.

Soviel zum Thema "Sicherheitssoftware".
Lese dir diesen Link, insbesondere Punkt 5.5 und 5.6, genau durch und handle danach:
http://www.mathematik.uni-marburg.de...ompromise.html

24.10.2004, 18:58	#2
Cidre Administrator, a.D.	Multimpp.dll Hallo, erstelle ein neues Log-File mit der neuen Version 1.98.2 . Überprüfe mal folgende Dateien bei http://virusscan.jotti.org/de und poste das Ergebnis: C:\WINDOWS\multimpp.dll C:\WINDOWS\system32\pknnetc.exe __________________ __________________

Multimpp.dll

Plagegeister aller Art und deren Bekämpfung: Multimpp.dll

Multimpp.dll

Multimpp.dll

Multimpp.dll

Multimpp.dll

Multimpp.dll

Multimpp.dll

Multimpp.dll

Ähnliche Themen: Multimpp.dll

24.10.2004, 22:23	#5
Jerome2	Multimpp.dll So, alles durchgeführt. Scheint geklappt zu haben. Das HJT Log ist das gleiche nur ohne die beiden Einträge. Das escan-log ist viel zu lang zum posten, oder nicht? Es wurden auf jeden Fall noch über 30 infizierte Files gefunden die ich manuell gelöscht habe. Hätte ich ja echt nicht erwartet. Diesen Beitrag schreibe ich bereits mit Firefox Vielen Dank! mfg

24.10.2004, 22:26	#6
Lidius	Multimpp.dll Du brauchst auch nicht das ganze escan log posten, mache folgendes: Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum posten.