Hallo Leute,
ich habe da ein lästiges Problem und hoffe, daß Ihr mir da weiterhelfen könnt.

Ich habe den F-Prot Virenscanner auf meinem System (XP) und der hat mir gestern freundlicherweise mitgeteilt, daß er "Suspicious files" gefunden hat. Alle tragen den Namen SALMHOOK oder SALM im Namen.

Folgende Dateien befinden sich in C:\temp\
- salm.log
- salm_kyf.dat
- salmhook.dll
- salm.exe
- salm_gdf.dat
- salmau.dat
- Ordner mit dem Namen "FLECK" (Ordner ist beim Draufzeigen mit dem Cursor angeblich leer)

Da ich leider nicht wirklich viel Ahnung von diesem widerlichen Zeitvertreib ominöser Gestalten habe, hoffe ich hier auf Eure kompetente Hilfe.

SALM läßt sich auch nicht komplett löschen, sondern zwei Dateien bleiben immer vorhanden und können nicht entfernt werden. Danach scheinen sich die restlichen vier Dateien wieder herzustellen(?).

Ich hatte mal vor einiger Zeit ein Problem mit sowas und habe mir ein Programm heruntergeladen, dessen Namen ich leider nicht mehr weiß (irgendwas mit "Fix" oder so). Das war sehr gut und hat echt gute Dienste geleistet, da man nur die Datei in einer Liste anklicken muß und schon wurde sie plattgemacht.

Meine Fragen sind also:
1. Wie werde ich Salm und seine Kumpels wieder los?
2. Könnt Ihr mir auch sagen, wo ich mir dieses unlustige Ding eingefangen hab?
3. Was richtet diese Dateikonstellation, wie oben beschrieben, auf meinem System an?
4. Was soll mir der Ordner FLECK in C.\temp sagen?

Vielen Dank für Eure Hilfe,
Rouven

Servus, Rouven1982!
Probier´ zum Löschen mal killbox http://www.bleepingcomputer.com/file...re/KillBox.zip mit der Option "delete on reboot" im abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html
Poste anschließend ein HJT-Logfile nach Anleitung von Cidre http://www.trojaner-board.de/showthread.php?t=17493
Bis dann, stupormundi

Zitat:

Zitat von stupormundi

Servus, Rouven1982!
Probier´ zum Löschen mal killbox http://www.bleepingcomputer.com/file...re/KillBox.zip mit der Option "delete on reboot" im abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html
Poste anschließend ein HJT-Logfile nach Anleitung von Cidre http://www.trojaner-board.de/showthread.php?t=17493
Bis dann, stupormundi

Hallo,
danke für Deine schnelle Reaktion, aber da ich absolut kein Plan habe, muß ich nochmal nachfragen, was Du damit genau meinst.
Also ich soll das Killbox-Programm runterladen und dann öffnen (entpacken und öffnen) und dann.......????

HJT-File ist wahrscheinlich HiJackThis?!?!?! Also muß ich mir das Programm auch herunterladen?

Was richtet denn dieses Salmhook-Dingsbums eigentlich für einen Schaden an? Ansonsten kann das Teil ja draufbleiben, soange es mich nicht nervt!??!?!

Zitat:

Also ich soll das Killbox-Programm runterladen und dann öffnen (entpacken und öffnen) und dann.......????

im abgesicherten Modus das Programm starten, im Auswahlfeld auf die zu löschenden Dateien browsen, anhaken, option "delete on reboot" (=Löschen bei Starten) auswählen, nicht gleich neustarten lassen sondern erst alle zu löschenden Dateien auf diese Art suchen und auswählen und am Schluss neustarten!

Zitat:

HJT-File ist wahrscheinlich HiJackThis?!?!?! Also muß ich mir das Programm auch herunterladen?

Ja, richtig - wozu ist wohl der link von mir gepostet?

Zitat:

Was richtet denn dieses Salmhook-Dingsbums eigentlich für einen Schaden an? Ansonsten kann das Teil ja draufbleiben, soange es mich nicht nervt!??!?!

Tante google weiß (fast) alles http://www.processlibrary.com/directory/files/salm/
http://www.bleepingcomputer.com/star....exe-4717.html
http://securityresponse.symantec.com...180search.html
ist also Spyware, welche Deine Surfgewohnheiten dokumentiert und an die Quelle (180Solutions.com) Wenn Dich das nicht nervt ...?
Your choice, stupormundi

Hallo, vielen Dank für Deine Hilfe und Deine Tips, STUPORMUNDI.

Hier ist der gewünschte HiJackThis-Log V O R dem Entfernen: (ich habe mir mal erlaubt, gewisse Sachen kenntlich zu machen und Fragen zu stellen)

Logfile of HijackThis v1.99.1
Scan saved at 20:13:44, on 28.09.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\system32\sistray.EXE
C:\Program Files\Media Access\MediaAccK.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\FSI\F-Prot\F-Sched.exe
C:\Program Files\Media Access\MediaAccess.exe
C:\Programme\FSI\F-Prot\F-StopW.EXE
C:\temp\salm.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\WINDOWS\system32\dessaps.exeDIESE DATEI MELDET F-PROT AUCH; WAS IST DAS?
C:\Programme\Skype\Phone\Skype.exe
C:\PROGRA~1\ICQ200~1\ICQ\ICQ.exe
C:\Programme\FSI\F-Prot\fpavupdm.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\X\LOKALE~1\Temp\Rar$EX03.157\HijackThis.exe

O2 - BHO: (no name) - {016235BE-59D4-4CEB-ADD5-E2378282A1D9} - C:\Programme\CxtPls\cxtpls.dll (file missing) WAS FÜR EINE DATEI SOLL FEHLEN? BENÖTIGT MAN DATEIEN MIT DIESEN ZAHLENKOMBINATIONEN?
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ200~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiS Tray] C:\WINDOWS\system32\sistray.EXE
O4 - HKLM\..\Run: [SiS KHooker] C:\WINDOWS\system32\khooker.exe HAT SICH DA AUCH EIN BÖSER BUBE VERLAUFEN? bzw. WAS SAGT MIR DIESES HKLM?
O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe
O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\system32\cmd32.exe internat.dll,LoadKeyboardProfile
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exe
O4 - HKLM\..\Run: [Service Host] C:\WINDOWS\system32\Services\{B19EC108-85BB-4313-BE1F-4B867093F2CB}\SVCHOST.EXE
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [FRISK FP-Scheduler] C:\Programme\FSI\F-Prot\F-Sched.exe STARTUP
O4 - HKLM\..\Run: [F-StopW] C:\Programme\FSI\F-Prot\F-StopW.EXE
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKCU\..\Run: [WindowsFY] c:\wp.exe
O4 - HKCU\..\Run: [ew24RgJtU] dessaps.exe SIEHE OBEN; F-PROT MELDET DATEI!!!
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ200~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ200~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.slotchbar.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.ysbweb.com
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.slotchbar.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted Zone: *.ysbweb.com (HKLM)
O15 - Trusted IP range: 67.19.185.246
O15 - Trusted IP range: 67.19.185.246 (HKLM) WAS SIND DAS FÜR URLs? ICH KENNE KEINE EINZIGE DAVON....
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...67&clcid=0x409
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/ms...downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E97B62AB-0562-47A3-98E1-A95010F23FAF}: NameServer = 217.237.151.225 217.237.150.225
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll
O21 - SSODL: cSDkNdi - {60C7EAB3-CA6D-4019-83B5-ECD679F9F82B} - C:\WINDOWS\system32\yu.dll (file missing) WELCHE DATEI JETZT SCHON WIEDER?
O23 - Service: F-Prot Antivirus Update Monitor - FRISK Software - C:\Programme\FSI\F-Prot\fpavupdm.exe


Wäre echt nett, wenn Du mir noch meine Fragen beantworten könntest. Dann bin ich ja hoffentlich bald mein(e) Problem(e) los.... und das ist auch gut so.

Jetzt bitte nochmal ein HJT-Log nach der Bereinigung.
O4 - HKCU\..\Run: [WindowsFY] c:\wp.exe
Könnte das sein:
http://www.sophos.de/virusinfo/analy...jfakealed.html

Servus, Rouven1982!
Ich habe schon längere Zeit nicht so einen Zoo von Spy-und Adware gesehen!
Du hast da eine ganze Bande an board. Die von Dir angezeichneten Einträge sind allesamt damit in Verbindung zu bringen.

Zitat:

C:\WINDOWS\system32\dessaps.exe

Was das genau ist, kann ich Dir auch nicht sagen, es gibt aber eine Menge Malware, welche Einträge und Dateien hinterläßt, welche Zufallsnamen tragen!
Die O15 Einträge stammen ebenfalls von Malware!
Zusätzlich finden sich noch eine Menge anderer Einträge in diesem Logfile, welche da nichts verloren haben!
Auf Grund des Umfanges des Befalles schlage ich Dir vor, einmal escan im abgesicherten Modus nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17492 laufen zu lassen. Halte Dich bitte exakt an die Anleitung (va. Speicherort von escan, Update vor Start, Spracheinstellung Englisch, alle Einstellungen so wie von Cidre beschrieben), damit die anschließende Auswertung mit Haui45´s "find.bat" (ist ebenfalls gut beschrieben) funktioniert. Poste das Ergebnis dann anschließend hier! Erst dann sollten wir entscheiden, ob eine Bereinigung sinnvoll ist, oder ob auf Grund des Befalls (vielleicht findet der Scan ja noch bösere Sachen) ein neu Aufsetzen nicht die gescheitere Lösung ist.
Bis dann, stupormundi