hallo.

ich habe beim internet-explorer ein "hacked by" in der titelleiste stehen.
ist das ein trojaner? ich krieg das nicht weg und antivir findet auch nichts.

gleichzeitig (soweit ich das beurteilen kann) ist ein weiteres problem aufgetaucht. und zwar kann ich im windows-explorer nicht mehr auf meine festplatten per doppelklick zugreifen. da passiert gar nichts. wenn ich über rechtsklick und öffnen gehe, funktioniert alles ganz normal. oder hat das damit nichts zu tun? (bei den einstellungen habe ich "mit doppelklick öffnen" eingegeben)

anbei mein aktuelles logfile.
ich hoffe, jemand kann mir helfen.

grüße
fantatrinker

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 10:11:02, on 17.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\spoolsv.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\system32\RUNDLL32.EXE
G:\Programme\AntiVir PersonalEdition Premium\avgnt.exe
G:\WINDOWS\SOUNDMAN.EXE
G:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe
G:\Programme\Java\jre1.6.0_05\bin\jusched.exe
G:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
G:\WINDOWS\System32\WScript.exe
G:\WINDOWS\system32\ctfmon.exe
G:\Programme\phonostar\ps_timer.exe
G:\Programme\Olympus\DeviceDetector\DevDtct2.exe
G:\Programme\Gemeinsame Dateien\AAV\aavus.exe
G:\Programme\AntiVir PersonalEdition Premium\sched.exe
G:\Programme\AntiVir PersonalEdition Premium\avguard.exe
G:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
G:\WINDOWS\System32\nvsvc32.exe
G:\WINDOWS\System32\svchost.exe
G:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
G:\WINDOWS\system32\wscript.exe
G:\WINDOWS\system32\wscript.exe
G:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
G:\Programme\Mozilla Firefox\firefox.exe
G:\WINDOWS\system32\wscript.exe
G:\Programme\Mozilla Thunderbird\thunderbird.exe
G:\Dokumente und Einstellungen\***\Desktop\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.***.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by HUMUNKULUS
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "G:\Programme\AntiVir PersonalEdition Premium\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [OpwareSE2] "G:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] G:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "G:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "G:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "G:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HUMUNKULUS] G:\WINDOWS\SYSTEM32\HUMUNKULUS.vbs
O4 - HKCU\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PhonostarTimer] G:\Programme\phonostar\ps_timer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] G:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Device Detector 3.lnk = G:\Programme\Olympus\DeviceDetector\DevDtct2.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://G:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - G:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - G:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1163271839859
O17 - HKLM\System\CCS\Services\Tcpip\..\{22B95604-91EE-4A7F-9DC0-BBDD9FF0D985}: NameServer = 217.237.151.142 217.237.150.188
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - G:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - G:\WINDOWS\System32\browseui.dll
O23 - Service: AAV UpdateService - Unknown owner - G:\Programme\Gemeinsame Dateien\AAV\aavus.exe
O23 - Service: Adobe LM Service - Adobe Systems - G:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard (AntiVirMailService) - Avira GmbH - G:\Programme\AntiVir PersonalEdition Premium\avmailc.exe
O23 - Service: AntiVir PersonalEdition Premium Planer (AntiVirScheduler) - Avira GmbH - G:\Programme\AntiVir PersonalEdition Premium\sched.exe
O23 - Service: AntiVir PersonalEdition Premium Guard (AntiVirService) - Avira GmbH - G:\Programme\AntiVir PersonalEdition Premium\avguard.exe
O23 - Service: AntiVir PersonalEdition Premium MailGuard Hilfsdienst (AVEService) - Avira GmbH - G:\Programme\AntiVir PersonalEdition Premium\avesvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\System32\nvsvc32.exe
O23 - Service: L Ile Noyee Drivers Auto Removal (pr2ajbeb) (pr2ajbeb) - Micro Application - G:\WINDOWS\system32\pr2ajbeb.exe

--
End of file - 6686 bytes

Hallo Fantatrinker und

Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:

G:\WINDOWS\system32\pr2ajbeb.exe
G:\WINDOWS\SYSTEM32\HUMUNKULUS.vbs

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

hallo undoreal.

zunächst einmal danke für deine rasche antwort. bei mir hat's jetzt etwas länger gedauert. aber ich habe, wie von dir vorgeschlagen, die beiden dateien hochgeladen und die gesamten auswertungen kopiert.
sie folgen gleich.

wie geht es weiter?
schon mal im voraus danke an alle, die's lesen und mir weiterhelfen können.
grüße
fantatrinker

Datei pr2ajbeb.exe empfangen 2008.02.18 15:15:47 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.18.0 2008.02.18 -
AntiVir 7.6.0.67 2008.02.18 -
Authentium 4.93.8 2008.02.17 -
Avast 4.7.1098.0 2008.02.18 -
AVG 7.5.0.516 2008.02.18 -
BitDefender 7.2 2008.02.18 -
CAT-QuickHeal 9.50 2008.02.16 -
ClamAV None 2008.02.18 -
DrWeb 4.44.0.09170 2008.02.18 -
eSafe 7.0.15.0 2008.02.17 -
eTrust-Vet 31.3.5546 2008.02.18 -
Ewido 4.0 2008.02.18 -
F-Prot 4.4.2.54 2008.02.17 -
F-Secure 6.70.13260.0 2008.02.18 -
FileAdvisor 1 2008.02.18 -
Fortinet 3.14.0.0 2008.02.18 -
Ikarus T3.1.1.20 2008.02.18 -
Kaspersky 7.0.0.125 2008.02.18 -
McAfee 5231 2008.02.15 -
Microsoft 1.3204 2008.02.18 -
NOD32v2 2882 2008.02.18 -
Norman 5.80.02 2008.02.15 -
Panda 9.0.0.4 2008.02.17 -
Prevx1 V2 2008.02.18 -
Rising 20.32.02.00 2008.02.18 -
Sophos 4.26.0 2008.02.18 -
Sunbelt 3.0.884.0 2008.02.18 -
Symantec 10 2008.02.18 -
TheHacker 6.2.9.222 2008.02.16 -
VBA32 3.12.6.1 2008.02.17 -
VirusBuster 4.3.26:9 2008.02.18 -
Webwasher-Gateway 6.6.2 2008.02.18 -

weitere Informationen
File size: 411000 bytes
MD5: ed83a07fcc79f8a96845486cc93b342a
SHA1: 22de4e0f183d13258115c630b26cf28e9dd55430
PEiD: -



Datei HUMUNKULUS.vbs empfangen 2008.05.18 00:03:48 (CET)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.16.0 2008.05.16 -
AntiVir 7.8.0.19 2008.05.17 HEUR/Exploit.HTML
Authentium 5.1.0.4 2008.05.17 VBS/Solow.A
Avast 4.8.1195.0 2008.05.17 VBS:Solow-C
AVG 7.5.0.516 2008.05.17 VBS/Small
BitDefender 7.2 2008.05.17 Generic.ScriptWorm.B9387D85
CAT-QuickHeal 9.50 2008.05.17 VBS/IETitle
ClamAV 0.92.1 2008.05.17 -
DrWeb 4.44.0.09170 2008.05.17 VBS.Generic.582
eSafe 7.0.15.0 2008.05.16 -
eTrust-Vet 31.4.5798 2008.05.16 VBS/Slogod
Ewido 4.0 2008.05.14 -
F-Prot 4.4.2.54 2008.05.16 VBS/Solow.A
F-Secure 6.70.13260.0 2008.05.17 VBS/Solow.I
Fortinet 3.14.0.0 2008.05.17 -
GData 2.0.7306.1023 2008.05.17 Virus.VBS.AutoRun.au
Ikarus T3.1.1.26.0 2008.05.17 Virus.VBS.AutoRun.c
Kaspersky 7.0.0.125 2008.05.17 Virus.VBS.AutoRun.au
McAfee 5297 2008.05.17 VBS/IE-Title
Microsoft 1.3408 2008.05.13 Worm:VBS/Slogod.F
NOD32v2 3106 2008.05.16 VBS/Butsur.E
Norman 5.80.02 2008.05.16 VBS/Solow.I
Panda 9.0.0.4 2008.05.17 VBS/FlashJumper.E.worm
Prevx1 V2 2008.05.18 -
Rising 20.44.52.00 2008.05.17 Worm.VBS.Sowel.a
Sophos 4.29.0 2008.05.17 VBS/Solow-Gen
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.17 VBS.Solow
TheHacker 6.2.92.311 2008.05.15 -
VBA32 3.12.6.6 2008.05.17 -
VirusBuster 4.3.26:9 2008.05.17 VBS.Niric.B
Webwasher-Gateway 6.6.2 2008.05.17 Heuristic.Exploit.HTML

weitere Informationen
File size: 4258 bytes
MD5...: e180fa279cba58a772cc9c61fbf190f2
SHA1..: 4d22a3b42a07699374d497ca225b5ec49d88f784
SHA256: 93289bef4c8b48a5d6ca707344df52ff1e58ae4f8bacdf3812b2e92391a82170
SHA512: b6787793a1b82ab74e3c4ad0d0fd286ecb3ee5affddb448505c4e7cb65897c78<br>d998714974033627c5510c93473f334c92ae9f33d813d9b80f227a9665b00201
PEiD..: -
PEInfo: -
packers (Authentium): Unicode
packers (F-Prot): Unicode

VBS/Solow-Gen Win32 worm - Sophos security analysis

Formatiere bitte jegliche Speichermedien die mit deinem Rechner in Kontakt gekommen sind und isoliere deinen rechner bis die Bereinigung beendet ist.
Jeder der von dir einen USB Stick bekommen hat und ihn an seinen Rechner gesteckt hat ist ebenfalls infiziert.

Wechsel bitte in den abgesicherten Modus.


Abgesicherter Modus (alle Windows Versionen)

So wird der abgesicherte Modus am einfachsten aufgerufen -> KLICK MICH

Dort fixe folgenden HJT Eintrag:

Zitat:

O4 - HKLM\..\Run: [HUMUNKULUS] G:\WINDOWS\SYSTEM32\HUMUNKULUS.vbs

Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:






2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld: (bei -> "input script here")

Code: Alles auswählenAufklappen

ATTFilter

G:\WINDOWS\SYSTEM32\HUMUNKULUS.vbs
         

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem ausführen des Avengers wird das System neu gestartet.


4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Poste bitte auch ein aktuelles HJT log.

danke erstmal, undoreal, für deine erneute antwort und die anleitung.

dazu habe ich zwei fragen: beim abgesicherten modus habe ich die möglichkeit, mich als "administrator" oder mit meinem namen anzumelden. welche variante soll ich wählen, oder ist das egal?

ich habe gerade den von dir beschriebenen lösungsweg ausprobiert, aber vom avenger eine fehlermeldung bekommen, irgendwas in der art, ich hätte kein kommando gegeben.
aber ich habe den code so eingegeben wie von dir in dem kasten abgedruckt. muß ich da noch was vorschieben?

eins noch zu den speichersticks: wenn ich deren inhalt auf die festplatte ziehe und sie erst dann formatiere, bevor ich diese reinigungsaktion durchführe - riskiere ich dann auch eine erneute verseuchung?

grüße
fantatrinker

Melde dich als Admin an.


Script für den Avenger:

Zitat:

Files to delete:
G:\WINDOWS\SYSTEM32\HUMUNKULUS.vbs

Zitat:

eins noch zu den speichersticks: wenn ich deren inhalt auf die festplatte ziehe und sie erst dann formatiere, bevor ich diese reinigungsaktion durchführe - riskiere ich dann auch eine erneute verseuchung?

davon ist auszugehen.. genau sagen kann ich das aber nicht weil ich nicht weiss ob sich der Virus nur in die autorun.inf einschreibt oder auch die Daten auf dem Stick verseucht.