Hallo zusammen, ich brauche wirklich Eure Hilfe !

Habe gestern in einem ZIP ( so ein Cr..ck ) einen Trojaner Cocktail eingefangen, benutze IE6, XP SP2 und alle aktuellen ( Original XP, jawoll ) Patches sowie SYMANTEC Internet Sec. 2007 ( bitte kein Kommentar )

Drei wurden sofort von SIS2007 gekillt, offenbar hatten es
WinFixer ( habe ich an den einschlägigen Meldungen und Pop-Ups gemerkt ) und
VUNDO überlebt und konnten sich einnisten.

Habe VUNDOFIX geladen und die Wiederherstellung deaktiviert. Dann im abgesicherten Modus VUNDOFIX und da hats die nqstv´s vtsqn´s dieser Welt geschmissen
Dannach habe ich die IE6 ActiveX dazu deaktiviert, nach nächstem Boot waren die dann ganz weg, die Registryschlüssel gekillt.
Nu ´is Ruhe

Auch die typischen WinFixer Aktivitäten haben aufgehört.

Habe dann mit AVG Antispyware sowie TrendMicro Antispyware ( Web ) und a-squared ( Web ) nochmal gescannt ( war noch ein weitere Trojaner da ) und alle Cookies geplättet sowie alle TEMP und TEMP.INTERNET FILES gelöscht , zu guter Letzt den Prefetch gelöscht.

System läuft stabil , aber :

ICH KANN KEINERLEI DOWNLOADS MEHR AUSFÜHREN !

Der Download startet wie gewohnt und geht vonstatten
* Bei Speichern unter ist am Ende des Downloads bloss NIX am Zielort
* Bei Ausführen geht der Download zu Ende, dann kommt die Sicherheitsmeldung, gebe ich das Ausführen frei , passiert wiederum NIX

HELP !

Ich denke, da ich keinerleie EXE ZIP REG oder sonatwas runterladen kann muss ich den von den Plagegeistern zerschredderten Registryschlüssel selbst wiederherstellen, oder ?

Welchen oder welche Registry Schlüssel muss ich verändern um wieder downloaden zu können ?

by-the way : habe bereits gecheckt :
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\RunOnce

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curr entVersion\RunOnce

da ist nix mehr was sich mitstartet.

Allerdings erkennt ihr mein Problem : ich kann nix runterladen also krieg ich auch kein HIJACK


Ich hoffe ihr könnt mir helfen, vielen lieben Dank !!!

Hallo.

Wenn du garnichts mehr runterladen kannst wird es schon schwierig!

Hast du mal versucht im abgesicherten Modus mit Netzwerktreibern zu starten?
Wenn nicht, dann versuche dies als erstes und erstell dann ein Hijacklog.

Gruß
Sunny

Hallo Sunny,

ich kann TXT und zB JPD runterladen jedoch jede Form von ausführbarem Code n i c h t.

Auch umbennen von EXE in TXT geht nicht.

Werde gleich mal abgesichert starten ( geht hopefully auch mit WLAN ) - wenn F-Secure fertig ist...

Entwickle gerade eine kleine Paranoia

Melde mich hier wieder DANKE

Follow Up leider :

Bekomme im abgesicherten Modus keine Internetverbindung , werden morgen per USB Stick aus der Firma HijackThis holen, wenn ich ( hoffentlich ) vom Stick auf Platte kopieren kann.

Was könnte in der Registry noch zu ändern sein, damit die Downloads wieder funzen ?

Bin für jede Info dankbar !!

So hier ist der Log, denn : die Dateien die runtergeladen werden liegen im Ordner TEMP.INTERNET...werden aber nicht gestartet, so habbich HijackThis wiedergefunden...sozusagen

Ich hoffe ihr findet was - here it goes !

Logfile of HijackThis v1.99.1
Scan saved at 19:11:21, on 07.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\System32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
F:\WINDOWS\Explorer.EXE
F:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
F:\WINDOWS\system32\spoolsv.exe
F:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
F:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
F:\Programme\FRITZ!DSL\IGDCTRL.EXE
F:\Programme\avmwlanstick\WlanNetService.exe
F:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
F:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
F:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
F:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
F:\WINDOWS\system32\nvsvc32.exe
F:\Programme\UPHClean\uphclean.exe
F:\Programme\iTunes\iTunesHelper.exe
F:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
F:\Programme\iPod\bin\iPodService.exe
F:\WINDOWS\SOUNDMAN.EXE
F:\Programme\avmwlanstick\wlangui.exe
F:\WINDOWS\system32\ctfmon.exe
F:\WINDOWS\system32\rundll32.exe
F:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
F:\Programme\Google\Google Updater\GoogleUpdater.exe
F:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
F:\WINDOWS\System32\svchost.exe
F:\Programme\Internet Explorer\iexplore.exe
H:\hijackthis_199[1]\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - F:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Programme\Java\jre1.6.0\bin\ssv.dll
O2 - BHO: (no name) - {7DA39570-5FD2-4f18-94B4-20730CB3F727} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - f:\programme\google\googletoolbar1.dll
O2 - BHO: (no name) - {D4EAA020-5646-41B7-BB9B-83FB127EFA6E} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - F:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - F:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - f:\programme\google\googletoolbar1.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - F:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O4 - HKLM\..\Run: [iTunesHelper] "F:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ccApp] "F:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "F:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVMWlanClient] F:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\ctfmon.exe
O4 - Startup: GoogleToolbarNotifier.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = F:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = F:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: Google Updater.lnk = F:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: WISO Urteilsmonitor.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.6.0\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: f:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: f:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: f:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: f:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: f:\programme\fritz!dsl\sarah.dll
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1089826981312
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1149280060921
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "F:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Protocol: shell - {3050F406-98B5-11CF-BB82-00AA00BDCE0B} - F:\WINDOWS\System32\mshtml.dll
O20 - Winlogon Notify: WgaLogon - F:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: winbue32 - F:\WINDOWS\SYSTEM32\winbue32.dll
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - F:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - F:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - F:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM WLAN Connection Service - AVM Berlin - F:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: BlueSoleil Hid Service - Unknown owner - F:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - F:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - F:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - F:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - F:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - F:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - F:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - F:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - F:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - F:\Programme\iPod\bin\iPodService.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - F:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - F:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - F:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - F:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarOpen - Unknown owner - (no file)
O23 - Service: Symantec Core LC - Symantec Corporation - F:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - F:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe


DANKE !

schonmal das Augenmerk auf winbue32.dll gerichtet ...wattis das ? bekannt ?

Na also, geht doch

Arbeite das hier ab:

1.) Lade das L2MRemover.zip runter.Entpacke das Programm in den neu zu erstellenden Ordner C:\Programme\Look2meRemover.

Deaktiviere die Systemwiederherstellung -> so wird es gemacht..

1. Klicke auf die L2MRemover.exe, um das Programm zu starten.
2. Klicke auf "About" > "Check for updates..." im Menu des Programms und aktualisiere das Programm.
3. Drücke auf den "Scan" Button und lasse dein gesamtes System, Speicher und Registry scannen.
4. Betätige den "Delete Keys" Button, um die Registry von den
Schlüsseln zu bereinigen, die dafür sorgen, dass die Malware sich mit jedem
Neustart wieder neu auflädt.

Danach das System neu starten lassen!

2.) Lade dir das Tool -> SmitfraudFix herunter und starte das Programm gleich mit Option 2 (Bereinigung!).
Poste im Anschluss den Inhalt des Reports sowie ein neues Hijacklog.

Gruß
Sunny

Hey ,

Look2ME habbich auch gegoogelt, aber Virustotal meint das ist alles andere ...
STATUS: FINISHEDComplete scanning result of "winbue32.dll", received in VirusTotal at 01.07.2007, 19:33:05 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.21 01.07.2007 HEUR/Malware
Authentium 4.93.8 12.30.2006 no virus found
Avast 4.7.892.0 12.30.2006 no virus found
AVG 386 01.06.2007 BackDoor.Generic4.EUS
BitDefender 7.2 01.07.2007 Trojan.Klone.H
CAT-QuickHeal 9.00 01.06.2007 no virus found
ClamAV devel-20060426 01.07.2007 no virus found
DrWeb 4.33 01.07.2007 no virus found
eSafe 7.0.14.0 01.07.2007 no virus found
eTrust-InoculateIT 23.73.107 01.06.2007 no virus found
eTrust-Vet 30.3.3307 01.06.2007 no virus found
Ewido 4.0 01.07.2007 no virus found
Fortinet 2.82.0.0 01.07.2007 Nebule.CVT!tr
F-Prot 3.16f 01.05.2007 no virus found
F-Prot4 4.2.1.29 01.05.2007 no virus found
Ikarus T3.1.0.27 01.07.2007 Trojan.Win32.Agent.vg
Kaspersky 4.0.2.24 01.07.2007 Packed.Win32.Klone.t
McAfee 4933 01.05.2007 BackDoor-CVT
Microsoft 1.1904 01.07.2007 no virus found
NOD32v2 1960 01.06.2007 Win32/Agent.CVT
Norman 5.80.02 12.31.2007 W32/Smalldoor.PBD
Panda 9.0.0.4 01.07.2007 Suspicious file
Prevx1 V2 01.07.2007 Polynomial.Code.Exploit
Sophos 4.13.0 01.05.2007 Troj/Nebule-Gen
Sunbelt 2.2.907.0 01.05.2007 VIPRE.Suspicious
TheHacker 6.0.3.145 01.07.2007 Trojan/Klone.t
UNA 1.83 01.06.2007 no virus found
VBA32 3.11.1 01.07.2007 Trojan.Win32.Agent.CVT
VirusBuster 4.3.19:9 01.07.2007 no virus found


Aditional Information
File size: 16896 bytes
MD5: c60ebd5acc758ed8f6c4c9d4347b7111
SHA1: 54f3d2385e5e573c69837daa2598b51d17f8cb0f
packers: PECOMPACT
packers: PecBundle, PECompact
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=91de65963770
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.


Trotzdem mal Look2ME Entferner anschmeissen ?

Die Datei habe ich auch gesehen, aber da es soviele unterschiedliche Meinungen dazu gibt wollte ich dir keine Neuinstallation aufdrücken.

Denn das hier..

Zitat:

F:\WINDOWS\SYSTEM32\winbue32.dll

..ist das.. Troj/Nebule-Gen

Also schmeiß mal Look2me Remover an...vielleicht kriegen wir es auch ohne Neuinstallation geregelt!

Gruß
Sunny

Oh Sunny, das hasse ich !

Mit dem HijackThis ging das gut aber das ZIP mit dem Remover krieg ich nicht !

Ist nicht im RECENT nicht im TEMP.INTERNETF...
und auch nicht unter <user>\LOKALE ...

nur ein Link zu der Seite die Du nanntest aber keine Bits und Bytes

Ich werde auch mal mein ZIP Tool deinstallieren, das könnte ja auch spinnen.

Könntest Du mir vielleicht per Mail das Dingens schicken , B I T T E ?:aplaus:

Dann schick mir mal per PN deine eMail-Adresse. (zwecks des Anhangs!)

Ich entpacke es dir auch schon

Gruß
Sunny

DANKE DIR ! Kann Kotzen, kann die Anhänge nicht lösen bzw. nicht auf der Platte speichern

Nu ja ich weiss nicht weiter