Hallo!
Ich habe seit gestern ein relativ heftiges Trojaner-Problem... ich hatte nacheinander die Viren Vundo.Gen, Agent.Age und noch weitere...
Die infizierten Dateien habe ich gelöscht, nachdem ich mich auf anderen PCs versichert hatte, dass diese dort überhaupt nicht existieren.

Dazu zählten:
mscheck.exe
msmouse.dll
closeapp.exe
hivnxrkt.dll

Alle im System32-Ordner.

Ich habe gelesen, dass der Agent.Age anscheinend neue Malware aus dem Internet zieht und bemerkt, dass immer ungefragt der IE (ich benutze eigentlich Firefox) geöffnet wird und mir Werbung vor die Nase klatscht, ich hätte Viren (was mir natürlich selber klar ist )... jedenfalls hat Antivir immer kurz, nachdem ich dieses Zeug geschlossen hatte, einen neuen Virus festgestellt.
Daraufhin habe ich mit ZoneAlarm dem IE einen Internetzugriff verboten... grade eben hat sich aber auf einmal ein neues Tab im Firefox geöffnet, die IP in der Adressleiste war 89.188.16.10. Es wurden ziemlich viele GET-Variablen für PHP übermittelt, glaube ich.
Und da im System Volume irgendwas-Ordner auch Funde waren, habe ich die Systemwiederherstellung ausgeschaltet, neu gestartet, und wieder eingeschaltet...

Aber wegen dieses Tabs, das nach alledem erst kam, bin ich mir recht sicher, dass ich noch irgendwas haben muss (ich habe ja vielleicht auch alles falsch gemacht).

Darum, schlussendlich, mein HijackThis-Log:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 14:21:49, on 15.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\ZONELABS\vsmon.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
D:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\ICQLite\ICQLite.exe
D:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
D:\WINDOWS\system32\LVCOMSX.EXE
D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\Logitech\Video\LogiTray.exe
D:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
D:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\Programme\LClock\lclock.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\Conceptworld\QNPlus\QNPlus.exe
D:\WINDOWS\system32\wdfmgr.exe
D:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
D:\Programme\Netropa\Onscreen Display\OSD.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
D:\WINDOWS\System32\alg.exe
D:\Programme\Mozilla Firefox\firefox.exe
C:\HiJackThis\HijackThis.exe

O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [IMJPMIG8.1] "D:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] D:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] D:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] D:\Programme\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [LVCOMSX] D:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [avgnt] "D:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] D:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] D:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "D:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "D:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MSConfig] D:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] D:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [LClock] D:\Programme\LClock\lclock.exe
O4 - HKCU\..\Run: [QNPlus] D:\Programme\Conceptworld\QNPlus\QNPlus.exe
O4 - HKCU\..\Run: [Steam] "c:\progra~1\steam\steam.exe" -silent
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = D:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0029DB08-C98B-41F1-A29C-C38A594A79A7}: NameServer = 192.168.123.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{3FFE4548-2862-4B82-B726-2DCEB44275FD}: NameServer = 192.168.123.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{0029DB08-C98B-41F1-A29C-C38A594A79A7}: NameServer = 192.168.123.254
O17 - HKLM\System\CS3\Services\Tcpip\..\{0029DB08-C98B-41F1-A29C-C38A594A79A7}: NameServer = 192.168.123.254
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - D:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - D:\Programme\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - D:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZONELABS\vsmon.exe

Hallo.

Dein Hijacklog ist unauffällig und deutet auf keine Schädlinge hin.

Arbeite aber das hier ab:


Vundofix

* Lade dir vundofix.exe
* Doppelklick VundoFix.exe
* Klicke "Scan" --> Vundo button.
* Nach dem Scannen, klicke den "Remove" Vundo button.
* Man wird nun gefragt, ob man "remove" will --> klicke YES
* Danach werden alle Desktop-Symbole verschwinden
* Dann wird man gefragt, ob der PC neustarten soll --> klicke OK.

C:\VundoFix Backups - löschen + Papierkorb leeren


Arbeiten mit MWAV (eScan)

* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)


Gruß
Sunny

mscheck.exe, msmouse.dll
Ich hab mal nach den beiden gegoogelt. Dabei rauskam das es sich bei den beiden wahrscheinlich um den Troj/Dropper-AM handelt. Ein Trojaner der immer mehr Malware auf den PC lädt. Vielleicht eine Erklärung für die immer wieder auftretenden Funde von Antivir

Apo

Stimmt... VundoFix habe ich gestern schonmal laufen lassen, das hatte auch 3 Dateien gefunden/gelöscht.
Ich habe es eben nochmals laufen lassen und wieder 3 Dateien gefunden/gelöscht...

Und grade während des MWAV-Scans ging wieder ein Firefox-Tab auf. der Link ist:

h**p://89.188.16.10/trafc-2/rfe.php?cmp=wavff_kw&uid=91EC7CC2EAE311DBBE83003048895BFC&nid=ik&guid=2a2616f7+9E9F0150792A47B9A1A52195E1D3CA4D&url=http:%2F%2Fwww.trojaner-board.de%2F37981-escan-anleitung.html&affid=67308&lid=escan%3E
Ich finde es komisch, dass die URL der Anleitung zu eScan da irgendwo hin übertragen zu werden scheint...

edit:
Da im abgesicherten Modus (ohne ZoneAlarm) ging auch der IE wieder auf gerade...

Poste erstmal den Bericht von eScan sowie von diesen Tools zusätzlich:


Silentrunners Logfile

*Lade dir das Tool -> Silentrunners
*Entpacke das Script in einen Ordner deiner Wahl
*Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen
*System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt
(Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“
erstellen, ignoriere dieses und arbeite weiter!)
*dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein


F-Secure Blacklight – Rootkitscanner:

* Scanne dein System mit Blacklight-
* Poste im Anschluss das Ergebnis des Reportes in dem du alles abkopierst und hier in einen Beitrag einfügst. (die Datei sollte auf C: angelegt werden.)

Hm, eScan scannt aber immernoch, im Moment sehr langsam... ist mittlweile bei 16 angeblichen Viren, die aber zum Großteil mit "not-a-virus:" bezeichnet sind.

Jedenfalls passiert da seit einigen Minuten nix mehr, aber fertig ist es irgendwie auch nicht... Die letzte Meldung über eine gescannte Datei (die wohlgemerkt nicht gelesen werden konnte) ist von vor über 10 Minuten.

Warte erstmal den Scan ab und poste danach den Bericht, dann sehen wir weiter.