Worm.Win32.NetSky macht auch bei mir Probleme

Fredmann · 17.03.2008, 14:09

Liebe Spezis.

Ich habe, wie auch viele andere hier, das Problem mit "Worm.Win32.NetSky".

Hier schon mal, so wie Ihr es ja zu Anfang immer fordert, das gerade erstellte HiJackTihs-Logfile des betroffenen Laptops.

++++++++++++++++++++

Logfile of HijackThis v1.99.1
Scan saved at 13:39:11, on 17.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Dell\Media Experience\DMXLauncher.exe
C:\WINDOWS\system32\WLTRAY.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\System32\DLA\DLACTRLW.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\antiviirus.exe
C:\Programme\tmp0.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Digital Line Detect\DLG.exe
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
C:\Programme\HiJackThis\HijackThis.exe
C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://w*w.euro.dell.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: GNX Rolex - {34D7198C-3B26-4434-B8B0-53DCE7410E70} - C:\WINDOWS\drnpfdxwrs.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll
O3 - Toolbar: etlrlws - {269B1AAF-415B-4C27-B8D0-1618BB6F03A1} - C:\WINDOWS\etlrlws.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [DMXLauncher] C:\Programme\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [Dell Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [MSKDetectorExe] C:\Programme\McAfee\SpamKiller\MSKDetct.exe /uninstall
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [antiviirus] C:\Programme\antiviirus.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ModemOnHold] C:\Programme\NetWaiting\netwaiting.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O4 - Global Startup: Photo Loader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O17 - HKLM\System\CCS\Services\Tcpip\..\{B70B27B8-B6CD-4BEC-AAA9-05C9A174D181}: NameServer = 192.168.1.1
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: bokpkov - {FDCDF4E0-E483-423A-9F38-2D9A788AF093} - C:\WINDOWS\bokpkov.dll
O21 - SSODL: altvxvm - {65933D47-B3C0-4410-9094-D566196B26F9} - C:\WINDOWS\altvxvm.dll
O21 - SSODL: VolumeChk - {edf012d3-1577-4fd6-b5cd-7f8e73e5bfdc} - C:\WINDOWS\Installer\{edf012d3-1577-4fd6-b5cd-7f8e73e5bfdc}\VolumeChk.dll
O21 - SSODL: zip - {daa729e0-0dbb-4450-bb46-34f747e62fb2} - C:\WINDOWS\Installer\{daa729e0-0dbb-4450-bb46-34f747e62fb2}\zip.dll
O23 - Service: Automatisches LiveUpdate - Scheduler (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe
O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

++++++++++++++++++++

Ich hoffe, dass Ihr mir genau so gut helfen könnt wie meine Leidensgenossen.

Vorab vielen Dank für die Unterstützung.

Herzliche Grüße

Fredmann

17.03.2008, 15:06

So , das hier sind die schädlichen .exes:
Unbekannt
C:\Programme\antiviirus.exe
C:\Programme\tmp0.exe
C:\Programme\Dell\NICCONFIGSVC\NICCONFIGSVC.exe
--->Wobei ich mir dort nicht sicher bin.

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
--->Dieser Eintrag sollte unbedingt mit HijackThis gefixt werden.

O2 - BHO: GNX Rolex - {34D7198C-3B26-4434-B8B0-53DCE7410E70} - C:\WINDOWS\drnpfdxwrs.dll

O3 - Toolbar: etlrlws - {269B1AAF-415B-4C27-B8D0-1618BB6F03A1} - C:\WINDOWS\etlrlws.dll

O4 - HKLM\..\Run: [antiviirus] C:\Programme\antiviirus.exe

Lade diese Dateien nach genauen Pfad nacheinander bei Virustotal.com hoch. Wer weiß wen Worm.Netsky so noch mitgebracht hat. Poste bitte die vollständigen Ergebisse hier.

Fredmann · 17.03.2008, 16:05

Hallo und vielen Dank zunächst.

Anbei das Ergebnis der Datei "antiviirus.exe".

++++++++++++++++++++

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.18.0 2008.03.17 -
AntiVir 7.6.0.73 2008.03.17 TR/Agent.fwi
Authentium 4.93.8 2008.03.14 -
Avast 4.7.1098.0 2008.03.16 -
AVG 7.5.0.516 2008.03.17 -
BitDefender 7.2 2008.03.17 -
CAT-QuickHeal 9.50 2008.03.14 (Suspicious) - DNAScan
ClamAV 0.92.1 2008.03.17 Trojan.Dropper-5246
DrWeb 4.44.0.09170 2008.03.17 -
eSafe 7.0.15.0 2008.03.09 Suspicious File
eTrust-Vet 31.3.5621 2008.03.17 Win32/Pripecs.JK
Ewido 4.0 2008.03.17 -
F-Prot 4.4.2.54 2008.03.16 -
F-Secure 6.70.13260.0 2008.03.17 Trojan-Downloader.Win32.Small.ivo
FileAdvisor 1 2008.03.17 -
Fortinet 3.14.0.0 2008.03.17 -
Ikarus T3.1.1.20 2008.03.17 Trojan-Clicker.Win32.Small.BG
Kaspersky 7.0.0.125 2008.03.17 Trojan-Downloader.Win32.Small.ivo
McAfee 5252 2008.03.14 -
Microsoft 1.3301 2008.03.16 TrojanDownloader:Win32/Zirit.A
NOD32v2 2952 2008.03.17 a variant of Win32/TrojanDropper.Agent.EYA
Norman 5.80.02 2008.03.17 W32/DLoader.GEAT
Panda 9.0.0.4 2008.03.16 Suspicious file
Prevx1 V2 2008.03.17 Generic9.AUST
Rising 20.36.02.00 2008.03.17 -
Sophos 4.27.0 2008.03.17 -
Sunbelt 3.0.963.0 2008.03.14 -
Symantec 10 2008.03.17 -
TheHacker 6.2.92.247 2008.03.15 -
VBA32 3.12.6.2 2008.03.16 -
VirusBuster 4.3.26:9 2008.03.17 Trojan.DL.Lodll.B
Webwasher-Gateway 6.6.2 2008.03.17 Trojan.Agent.fwi
weitere Informationen
File size: 21740 bytes
MD5: edacb33c3d1dd836b90cb9727f0630a7
SHA1: 3f0017afca8a6dcf95b4456c5a39c5bd834d7126
PEiD: PECompact 2.xx --> BitSum Technologies
packers: embedded, PecBundle, PECompact
packers: PE_Patch.PECompact, PecBundle, PECompact
Prevx info: h**p://info.prevx.com/aboutprogramtext.asp?PX5=7228DE47EC9782F940DB0008D381AB00AEB9480E

+++++++++++++++++++

Die Datei "NICCONFIGSVC.exe" hatte zum Glück kein Ergebnis, so dass ich auf den Bericht verzichte.

Leider konnte ich die Datei "tmp0.exe" haben ich unter "C:\Programme\tmp0.exe" nicht gefunden, obwohl unter HijackThis diese Datei immer im o.a. Verzeichnis angezeigt wird.

Kann man aus aus dem ersten Logfile schon was entnehmen?

Vielen Dank und Grüße

Fredmann

17.03.2008, 16:15

Entnehmen kann mann schon aller Hand. Ich werde noch etwas länger brauchen , um die richtige Reinigung herauszufinden.

Sabina · 17.03.2008, 16:22

Hallo Fredmann

Information
antiviirus.exe / tmp0.exe löschen

-------------

mit dem HijackThis löschen ("fixen")
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
und wähle fix checked

Zitat:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2

O2 - BHO: GNX Rolex - {34D7198C-3B26-4434-B8B0-53DCE7410E70} - C:\WINDOWS\drnpfdxwrs.dll

O3 - Toolbar: etlrlws - {269B1AAF-415B-4C27-B8D0-1618BB6F03A1} - C:\WINDOWS\etlrlws.dll

O4 - HKLM\..\Run: [antiviirus] C:\Programme\antiviirus.exe

O21 - SSODL: bokpkov - {FDCDF4E0-E483-423A-9F38-2D9A788AF093} - C:\WINDOWS\bokpkov.dll

O21 - SSODL: altvxvm - {65933D47-B3C0-4410-9094-D566196B26F9} - C:\WINDOWS\altvxvm.dll

O21 - SSODL: VolumeChk - {edf012d3-1577-4fd6-b5cd-7f8e73e5bfdc} - C:\WINDOWS\Installer\{edf012d3-1577-4fd6-b5cd-7f8e73e5bfdc}\VolumeChk.dll

O21 - SSODL: zip - {daa729e0-0dbb-4450-bb46-34f747e62fb2} - C:\WINDOWS\Installer\{daa729e0-0dbb-4450-bb46-34f747e62fb2}\zip.dll

1.
wende sdfix an (nur im abgesicherten Modus möglich)
SDFix

poste dann hier den report

2.
wende Malwarebytes an + poste den report (vorher alles gefundene löschen lassen)
Malwarebytes Anti-Malware

3.
wende Combofix an + poste den report
combofix

Fredmann · 17.03.2008, 17:15

Hallo Sabina.

Vielen Dank für Deine Hilfe!

Habe alles nach Deinen Vorgaben ausgeführt.

Hier die Logs.

Log von sdfix:

++++++++++++++++++++

SDFix: Version 1.158

Run by Administrator on 17.03.2008 at 16:41

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :

Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Default HomePage Value
Restoring Default Desktop Components Value

Rebooting

Checking Files :

Trojan Files Found:

C:\WINDOWS\Installer\{edf012d3-1577-4fd6-b5cd-7f8e73e5bfdc}\VolumeChk.dll - Deleted
C:\WINDOWS\Installer\{daa729e0-0dbb-4450-bb46-34f747e62fb2}\zip.dll - Deleted
C:\WINDOWS\drnpfdxwrs.dll - Deleted
C:\Programme\antiviirus.exe - Deleted
C:\WINDOWS\altvxvm.dll - Deleted
C:\WINDOWS\bokpkov.dll - Deleted
C:\WINDOWS\etlrlws.dll - Deleted
C:\WINDOWS\fmsxwqs.exe - Deleted

Folder C:\WINDOWS\Installer\{edf012d3-1577-4fd6-b5cd-7f8e73e5bfdc} - Removed
Folder C:\WINDOWS\Installer\{daa729e0-0dbb-4450-bb46-34f747e62fb2} - Removed

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://w*w.gmer.net
Rootkit scan 2008-03-17 16:46:23
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

++++++++++++++++++++

Log von ComboFix:

++++++++++++++++++++

ComboFix 08-03-14.4 - ****** 2008-03-17 17:03:42.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.176 [GMT 1:00]
ausgeführt von:: F:\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\******\Desktop\Error Cleaner.url
C:\Dokumente und Einstellungen\******\Desktop\Privacy Protector.url
C:\Dokumente und Einstellungen\******\Desktop\Spyware&Malware Protection.url
C:\Dokumente und Einstellungen\******\Favoriten\Error Cleaner.url
C:\Dokumente und Einstellungen\******\Favoriten\Privacy Protector.url
C:\Dokumente und Einstellungen\****** \Favoriten\Spyware&Malware Protection.url
.
((((((((((((((((((((((( Dateien erstellt von 2008-02-17 bis 2008-03-17 ))))))))))))))))))))))))))))))
.

2008-03-17 16:38 . 2008-03-17 16:38 <DIR> d-------- C:\WINDOWS\ERUNT
2008-03-17 16:37 . 2008-03-17 16:47 <DIR> d-------- C:\SDFix
2008-03-17 16:31 . 2004-08-18 14:12 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2008-03-17 16:31 . 2004-08-18 14:12 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Startmenü
2008-03-17 16:31 . 2004-08-18 14:12 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Netzwerkumgebung
2008-03-17 16:31 . 2004-08-18 14:12 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2008-03-17 16:31 . 2004-08-18 14:23 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Favoriten
2008-03-17 16:31 . 2006-02-07 13:16 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2008-03-17 16:31 . 2004-08-18 14:12 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator\Druckumgebung
2008-03-17 16:31 . 2006-02-07 13:17 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Corel
2008-03-17 16:31 . 2006-02-07 13:06 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2008-03-16 11:39 . 2008-03-16 11:39 16,616 -r-hs---- C:\Programme\tmp0.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-16 10:30 --------- d-----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-02-01 13:58 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec
2008-01-11 05:32 44,544 ----a-w C:\WINDOWS\system32\dllcache\pngfilt.dll
2007-12-19 22:48 347,136 ----a-w C:\WINDOWS\system32\dllcache\dxtmsft.dll
2007-12-18 09:51 179,584 ------w C:\WINDOWS\system32\dllcache\mrxdav.sys
2006-03-08 17:55 56 --sh--r C:\WINDOWS\system32\7595C84C0B.sys
2006-03-08 17:55 3,766 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6D53EC84-6AAE-4787-AEEE-F4628F01010C}]
2008-01-31 12:34 116088 --a------ C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15:00 15360]
"ModemOnHold"="C:\Programme\NetWaiting\netwaiting.exe" [2003-09-10 03:24 20480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-06-24 07:36 729178]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-10-14 21:49 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-10-14 21:46 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-10-14 21:50 114688]
"SunJavaUpdateSched"="C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe" [2003-11-19 18:48 32881]
"SigmatelSysTrayApp"="stsystra.exe" [2005-09-10 00:19 393216 C:\WINDOWS\stsystra.exe]
"DMXLauncher"="C:\Programme\Dell\Media Experience\DMXLauncher.exe" [2005-11-01 04:12 94208]
"Dell Wireless Manager UI"="C:\WINDOWS\system32\WLTRAY" [ ]
"Dell QuickSet"="C:\Programme\Dell\QuickSet\quickset.exe" [2005-09-01 18:24 684032]
"ISUSPM Startup"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" [2005-06-10 11:44 249856]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-06-10 11:44 81920]
"DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2005-09-08 06:20 122940]
"MSKDetectorExe"="C:\Programme\McAfee\SpamKiller\MSKDetct.exe" [2005-08-12 16:16 1121792]
"ccApp"="C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" [2008-01-31 13:15 51048]
"osCheck"="C:\Programme\Norton AntiVirus\osCheck.exe" [2007-08-24 21:53 714608]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15:00 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Digital Line Detect.lnk - C:\Programme\Digital Line Detect\DLG.exe [2006-02-07 13:12:00 24576]
Photo Loader resident.lnk - C:\Programme\CASIO\Photo Loader\Plauto.exe [2006-12-25 12:01:32 217088]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R2 LiveUpdate Notice;LiveUpdate Notice;"C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon []
R3 SymIMMP;SymIMMP;C:\WINDOWS\system32\DRIVERS\SymIM.sys [2007-08-09 17:27]
S3 COH_Mon;COH_Mon;C:\WINDOWS\system32\Drivers\COH_Mon.sys [2008-01-12 18:32]
S3 SymIM;Symantec Network Security Intermediate Filter Service;C:\WINDOWS\system32\DRIVERS\SymIM.sys [2007-08-09 17:27]

.
Inhalt des "geplante Tasks" Ordners
"2007-10-15 19:07:08 C:\WINDOWS\Tasks\Norton AntiVirus - Systemprüfung ausführen - ******.job"
- C:\Programme\Norton AntiVirus\Navw32.exel/TASK:
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, h**p://w*w.gmer.net
Rootkit scan 2008-03-17 17:05:12
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-03-17 17:05:50
ComboFix-quarantined-files.txt 2008-03-17 16:05:40
.
2008-03-15 09:06:01 --- E O F ---

++++++++++++++++++++

Ich hoffe weiterhin um Hilfe.

Vielsten Dank!

Grüße

Fredmann

Sabina · 17.03.2008, 19:14

««
OTMoveIt by OldTimer
öffne: OTMoveIt.exe

Kopiere rein: im linken Fenster ,wo steht: Paste Standart List of Files/Folders to be Move

Code:

ATTFilter

C:\Programme\tmp0.exe

Klicke auf den Roten MoveIt!

»»
scanne, poste den report
Malwarebytes Anti-Malware

Fredmann · 17.03.2008, 19:24

Hallo Sabina.

Nach dem Neustart des Rechners kommen die ursprünglichen Probleme nicht mehr.

Kannst Du, anhand der Logs sagen, ob mein Problem beseitigt ist?

Vieln Dank und beste Grüße

Fredmann

Fredmann · 17.03.2008, 19:38

Hallo Sabina.

Das Log, nachdem eine Fehlermeldung kam, lautet:

++++++++++++++++++++

File move failed. C:\Programme\tmp0.exe scheduled to be moved on reboot.

OTMoveIt2 by OldTimer - Version 1.0.21 log created on 03172008_193429

+++++++++++++++++++

Grüße

Fredmann

Sabina · 17.03.2008, 19:39

STARTE DEN RECHNER NEU
~~~~
ich würde gern noch das SCAN-log sehen von malwarebytes

Malwarebytes Anti-Malware

Fredmann · 17.03.2008, 20:19

Hallo Sabina.

Rechnerneustart und Malware ausgeführt.

Logfile wie folgt:

++++++++++++++++++++

Malwarebytes' Anti-Malware 1.08
Datenbank Version: 499

Scan Art: Schnell Scan
Objekte gescannt: 26938
Scan Dauer: 6 minute(s), 25 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\etlrlws.bvgl (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\etlrlws.ToolBar.1 (Trojan.FakeAlert) -> No action taken.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\Programme\tmp0.exe (Trojan.Alphabet) -> No action taken.

++++++++++++++++++++

Beste Grüße

Fredmann

Sabina · 18.03.2008, 00:25

nfizierte Dateien:
C:\Programme\tmp0.exe (Trojan.Alphabet) -> No action taken.

das Proggie loescht, zur Not scanne im abgesicherten modus, dann, nach dem scan klicke auf bereinigen
+
poste den neuen report

Fredmann · 18.03.2008, 12:24

Hallo Sabina.

Im abgesicherten Modus wurde nicht gefunden, so dass ich den Scan dann im normalen Mudus durchführte, 3 infizierte Files fand und diese auch entfernen konnte. Nach einem Neustart und erneutem Scan habe ich folgendes Log erhalten.

++++++++++++++++++++

Malwarebytes' Anti-Malware 1.08
Datenbank Version: 499

Scan Art: Schnell Scan
Objekte gescannt: 26804
Scan Dauer: 2 minute(s), 44 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
(Keine Malware Objekte gefunden)

++++++++++++++++++++

Das müsstes es doch hoffentlich gewesen sein - oder?

Beste Grüße

Fredmann

Sabina · 18.03.2008, 12:31

ja, das wars ...wunderbar ausgeführt

Alles Gute.

Fredmann · 18.03.2008, 12:36

Liebe Sabina.

1.000.000 Dankeschön für Deine Rettung!

Ein verdientes Osterfest wünsche ich Dir.

Herzliche Grüße

Fredmann

17.03.2008, 16:15	#4
Usagi Gast	Worm.Win32.NetSky macht auch bei mir Probleme Entnehmen kann mann schon aller Hand. Ich werde noch etwas länger brauchen , um die richtige Reinigung herauszufinden.

Worm.Win32.NetSky macht auch bei mir Probleme

Log-Analyse und Auswertung: Worm.Win32.NetSky macht auch bei mir Probleme