Hallo,

Zitat:

Zitat von blow-in

Hallo Salsera
Du solltest eigentlich auch die Meldungen der einzelnen Virenprogramme posten und zusätlich die SHA und MD5.
Es ist interresant um welchen Schädling es sich handelt, damit man sagen kann mit welchen Progi dagegen vorgegangen werden muss.

das hab ich leider falsch verstanden... sorry... Die Datei secpol.exe habe ich schon gelöscht, weswegen ich die Datei nicht nocheinmal durchlaufen lassen kann. Nur tritt sie bei hijack noch immer auf weil ich das noch nicht "gefixt" habe, da ich mir unsicher war (siehe vorheriger Eintrag)

Für die fsmgmt.dll Datei poste ich dir das Ergebnis nocheinmal:

Code: Alles auswählenAufklappen

ATTFilter

Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.5.30.1	2008.06.02	-
AntiVir	7.8.0.26	2008.06.02	TR/Crypt.FKM.Gen
Authentium	5.1.0.4	2008.06.01	W32/Downloader.F.gen!Eldorado
Avast	4.8.1195.0	2008.06.02	-
AVG	7.5.0.516	2008.06.02	Win32/CryptExe.A
BitDefender	7.2	2008.06.02	DeepScan:Generic.PWS.Games.3.662AD07A
CAT-QuickHeal	9.50	2008.05.31	TrojanPSW.WOW.ast
ClamAV	0.92.1	2008.06.02	Trojan.WoW-448
DrWeb	4.44.0.09170	2008.06.02	-
eSafe	7.0.15.0	2008.06.01	-
eTrust-Vet	31.4.5837	2008.05.30	Win32/VMalum.CPDV
Ewido	4.0	2008.06.02	-
F-Prot	4.4.4.56	2008.06.01	W32/Downloader.F.gen!Eldorado
F-Secure	6.70.13260.0	2008.06.02	Trojan-PSW.Win32.WOW.ast
Fortinet	3.14.0.0	2008.06.02	W32/Heuri.AST!tr.pws
GData	2.0.7306.1023	2008.06.02	Trojan-PSW.Win32.WOW.ast
Ikarus	T3.1.1.26.0	2008.06.02	Trojan-PWS.Win32.WOW.aic
Kaspersky	7.0.0.125	2008.06.02	Trojan-PSW.Win32.WOW.ast
McAfee	5307	2008.05.30	PWS-WoW.dll
Microsoft	1.3520	2008.06.02	-
NOD32v2	3151	2008.06.02	a variant of Win32/PSW.WOW.NDJ
Norman	5.80.02	2008.05.30	W32/Wow.DFG
Panda	9.0.0.4	2008.06.02	Trj/WoW.HV
Prevx1	V2	2008.06.02	Malicious Software
Rising	20.47.01.00	2008.06.02	Trojan.PSW.Win32.GamesOnline.tz
Sophos	4.29.0	2008.06.02	Mal/Heuri-E
Sunbelt	3.0.1139.1	2008.05.29	Trojan.Crypt.FKM.Gen
Symantec	10	2008.06.02	Infostealer.Gampass
TheHacker	6.2.92.331	2008.06.02	Trojan/PSW.WOW.ast
VBA32	3.12.6.6	2008.06.01	Trojan-PSW.Win32.WOW.ast
VirusBuster	4.3.26:9	2008.06.01	Packed/Execryptor
Webwasher-Gateway	6.6.2	2008.06.02	Trojan.Crypt.FKM.Gen
weitere Informationen
File size: 46080 bytes
MD5...: f12f3f78bb400b61d08210444be5124e
SHA1..: 7a6ba78ecd8f092455d52494bb057d3465658407
SHA256: 12dc54aa0c9ae2304317365a91a5010cc518181fc27cd1c230031002943418fd
SHA512: 00bc3f7095f10d98c9af0624e3a8133e6bad3caeba3206750b5054b46dd00023
695464cc0f1e91f0c9799bc1733d047bfe41bd6b9096f845fae2faaab436ede2
PEiD..: EXECryptor 2.2.4 -> Strongbit/SoftComplete Development (h2)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x41bb08
timedatestamp.....: 0x3039 (Thu Jan 01 03:25:45 1970)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x8000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.data 0x9000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.link 0xa000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rsrc 0xb000 0x1000 0x400 3.39 9f00c2d47796dba803730d9fdf68d03b
teq314dn 0xc000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
8qwlqs1v 0xd000 0x5000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
crimn0wy 0x12000 0xa000 0x9bca 7.98 1f0ca7963893af5beac309d009acb9d8
ia364n7w 0x1c000 0x1000 0x1000 0.08 341e662bbca72c30fc72beb1a86f676f

( 0 imports )

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=DB4BF152004E5263B4910063FC4DFC00C885BF09
packers (Kaspersky): Execryptor
         

Was rätst du mir?

LG salsera

Wenn du schon etwas gelöscht hast, ist es nicht verkehrt, wenn du ein neues HJT-Log zeigen würdest.
Zur weiteren Entfernung muss dir dann aber @Nochdigger weiterhelfen.

Okay,
hier mein neues HJT-Log:

[code]
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:21:54, on 02.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Dokumente und Einstellungen\XXXX\Desktop\Huawei technologies\Mobile Connect\Data\E220Util.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Rainlendar2\Rainlendar2.exe
C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\Programme\RALINK\Common\RaUI.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\PROGRA~1\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\XXXX\LOKALE~1\Temp\Temporäres Verzeichnis 6 für HiJackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\secpol.exe,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HUAWEI E220 UTIL] C:\Dokumente und Einstellungen\XXXX\Desktop\Huawei technologies\Mobile Connect\Data\E220Util.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{54CDAB6E-8B6C-47BB-B6B3-157942C2B729}: NameServer = 195.3.96.67,195.3.96.68
O18 - Protocol: t-mobile - (no CLSID) - (no file)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe

--
End of file - 4912 bytes
[\code]

Dann hoffe ich mal auf die Hilfe von @Nochdigger...

Also die Datei

Zitat:

C:\WINDOWS\system32\secpol.exe

Scheint ja noch vorhanden zu sein.
Gehe zu Virustotal und kopiere dort den o.g. phad direkt hinein und lade sie hoch.

Nein, das funktioniert leider nicht. Die Datei wird nicht gefunden und kann daher auch nicht übertragen werden.

Die Einzige ähnliche Datei, die ich noch finde ist C:\WINDOWS\system32\secopol.msc

Hallo

Zitat:

Die Einzige ähnliche Datei, die ich noch finde ist C:\WINDOWS\system32\secopol.msc

lass sie bitte auch auswerten, wie zuletzt ich will ja wissen um was es sich handelt.


Versuchen wir mal die Entfernung

deaktiviere zuerst bitte die Sytemwiederherstellung
Systemwiederherstellung

- wechsel anschließend in den abgesicherten Modus (beim start F8 drücken)
- starte Regedit (Start -> Ausführen -> - Regedit - eintippen -> Enter )
- suche diesen Schlüssel

Zitat:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

und im rechten Fenster diesen Schlüssel

Zitat:

Userinit = "%System%\userinit.exe,C:\system32\secpol.exe"

klick den Schlüssel im rechten Fenster mit der rechten Maustaste an und wähle " Ändern "
Lösche nur diesen Pfad

Zitat:

C:\system32\secpol.exe

dann beende Regedit.
Suche nach dieser Datei

Zitat:

C:\system32\secpol.exe

und lösche sie, anschließend leere den Mülleimer.
Deinstalliere bei der Gelegenheit bitte gleich alle alten Javaversionen.


Wechsel in den normalen Modus von Windows und erstelle einen eigenen Ordner für Hijackthis, dann entpacke das Programm dorthinein und erstelle ein frisches Log.

Führe ein Update deines Antivirenprogramms durch und mache einen Fullscan, dann berichte bitte.

Führe bitte auch einen Onlinescan durch z.B. hier
Kostenloser Online Virus und Spyware Scanner - Trend Micro Deutschland
Free Virus Scan - Kaspersky Lab
BitDefender Online Scanner - Free Online Virus Scan
F-Secure Support pages: F-Secure Online Virus Scanner

MFG

Hi,

Zitat:

Zitat von nochdigger

lass sie bitte auch auswerten, wie zuletzt ich will ja wissen um was es sich handelt.

Das hatte ich schon gemacht, hat aber nichts ergeben. ;-)

Zitat:

Zitat von nochdigger

Suche nach dieser Datei

und lösche sie, anschließend leere den Mülleimer.

Hab alles gemacht, wie du gesagt hast, aber bei diesem Punkt gibt es wieder das Problem, dass sich die Datei nicht finden lässt... Ist sie dann doch nicht ganz eliminiert?

Zitat:

Zitat von nochdigger

Führe ein Update deines Antivirenprogramms durch und mache einen Fullscan, dann berichte bitte.

Mein Antivirenprogramm hat einige Dateien erkannt, die ich in den Container verschoben habe. Sind diese somit ausgeschaltet?
Die Dateien:
C:WINDOWS\system32\kavo.exe
C:WINDOWS\system32\kavo0.dll
C:WINDOWS\system32\kavo1.dll

Den Online Scan werde ich später durchführen und berichten.

Das neue Log:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:18:01, on 02.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Dokumente und Einstellungen\XXXX\Desktop\Huawei technologies\Mobile Connect\Data\E220Util.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\Rainlendar2\Rainlendar2.exe
C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
C:\Programme\RALINK\Common\RaUI.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\DOKUME~1\XXXX\LOKALE~1\Temp\Temporäres Verzeichnis 7 für HiJackThis.zip\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
C:\DOKUME~1\XXXX\LOKALE~1\Temp\Temporäres Verzeichnis 8 für HiJackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HUAWEI E220 UTIL] C:\Dokumente und Einstellungen\Tanja\Desktop\Huawei technologies\Mobile Connect\Data\E220Util.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Rainlendar2] C:\Programme\Rainlendar2\Rainlendar2.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 4.0\Distillr\AcroTray.exe
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Programme\RALINK\Common\RaUI.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{54CDAB6E-8B6C-47BB-B6B3-157942C2B729}: NameServer = 195.3.96.67,195.3.96.68
O18 - Protocol: t-mobile - (no CLSID) - (no file)
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: InCD Helper (InCDsrv) - AHEAD Software - C:\Programme\Ahead\InCD\InCDsrv.exe

--
End of file - 4800 bytes
         

LG