Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe.

JuuuHuuu · 06.08.2008, 22:30

hallo,
ich habe mir leider ebenfalls diesen plagegeist eingefangen, wie er schon mehfach beschrieben wurde (VIRUS ALERT! neben der uhr, pop-ups taskmanager und regedit deaktiviert, startmenü fehlt, usw eingefangen).
folgendes habe ich schon gemacht:
-mit clearprog aufgeräumt

-mit spybot gescannt, und was gefunden wurde entfernt.

Code:

ATTFilter

Smitfraud-C.gp: [SBI $901C9C72]  Verknüpfung (Datei, nothing done)
  C:\Dokumente und Einstellungen\***\Favoriten\Error Cleaner.url

Smitfraud-C.gp: [SBI $A66DB21C]  Verknüpfung (Datei, nothing done)
  C:\Dokumente und Einstellungen\***\Favoriten\Privacy Protector.url

Smitfraud-C.gp: [SBI $472076AC]  Verknüpfung (Datei, nothing done)
  C:\Dokumente und Einstellungen\***\Favoriten\Spyware&Malware Protection.url

Smitfraud-C.gp: [SBI $D1117B94]  Verknüpfung (Datei, nothing done)
  C:\Dokumente und Einstellungen\***\Desktop\Spyware&Malware Protection.url

Smitfraud-C.gp: [SBI $C4C37DA6]  Verknüpfung (Datei, nothing done)
  C:\Dokumente und Einstellungen\***\Desktop\Error Cleaner.url

Microsoft.Windows.Explorer: [SBI $4272AA01] Benutzereinstellungen (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_USERS\S-1-5-21-1628635152-967102319-118566906-1008\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders

Microsoft.Windows.System: [SBI $8E2F7540] Benutzereinstellungen (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_USERS\S-1-5-21-1628635152-967102319-118566906-1008\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispCpl

Microsoft.WindowsSecurityCenter_disabled: [SBI $2E20C9A9] Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start

Microsoft.Windows.System: [SBI $38594624] Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_USERS\S-1-5-21-1628635152-967102319-118566906-1008\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuMorePrograms

NNC.MGRS: [SBI $D7CE2F4E] IE Startseite (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_USERSS-1-5-21-1628635152-967102319-118566906-1008\Software\Microsoft\Internet Explorer\Main\Start Page=about:blank

Zlob.Downloader.rid: [SBI $A36DC7FF]  Bibliothek (Datei, nothing done)
  C:\WINDOWS\bgrqfetx.dll

Zlob.Downloader.vcd: [SBI $3A7819FB] Uninstall-Einstellung (Registrierungsdatenbank-Schlüssel, nothing done)
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WebVideo

Zlob.Downloader.bs: [SBI $0D9D15D5]  Bibliothek (Datei, nothing done)
  C:\WINDOWS\xokvrpwg.dll

Zlob.Downloader.vcd: [SBI $E018B59A]  Bibliothek (Datei, nothing done)
  C:\WINDOWS\tfnslopk.dll


--- Spybot - Search & Destroy version: 1.5.2  (build: 20080128) ---

2008-01-28 blindman.exe (1.0.0.7)
2008-01-28 SDDelFile.exe (1.0.2.4)
2008-01-28 SDMain.exe (1.0.0.5)
2008-01-28 SDUpdate.exe (1.0.8.8)
2008-01-28 SDWinSec.exe (1.0.0.11)
2008-01-28 SpybotSD.exe (1.5.2.20)
2008-01-28 TeaTimer.exe (1.5.2.16)
2006-09-08 unins000.exe (51.41.0.0)
2008-04-07 unins001.exe (51.49.0.0)
2008-01-28 Update.exe (1.4.0.6)
2008-01-28 advcheck.dll (1.5.4.5)
2007-04-02 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2007-11-17 DelZip179.dll (1.79.7.4)
2008-01-28 SDFiles.dll (1.5.1.19)
2008-01-28 SDHelper.dll (1.5.0.11)
2008-01-28 Tools.dll (2.1.3.3)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2008-06-17 Includes\Adware.sbi (*)
2008-06-18 Includes\AdwareC.sbi (*)
2008-06-03 Includes\Cookies.sbi (*)
2008-06-03 Includes\Dialer.sbi (*)
2008-06-24 Includes\DialerC.sbi (*)
2008-06-03 Includes\HeavyDuty.sbi (*)
2008-06-16 Includes\Hijackers.sbi (*)
2008-06-17 Includes\HijackersC.sbi (*)
2008-06-25 Includes\Keyloggers.sbi (*)
2008-06-24 Includes\KeyloggersC.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2008-06-24 Includes\Malware.sbi (*)
2008-06-24 Includes\MalwareC.sbi (*)
2008-06-17 Includes\PUPS.sbi (*)
2008-06-24 Includes\PUPSC.sbi (*)
2007-11-07 Includes\Revision.sbi (*)
2008-06-10 Includes\Security.sbi (*)
2008-06-18 Includes\SecurityC.sbi (*)
2008-06-03 Includes\Spybots.sbi (*)
2008-06-03 Includes\SpybotsC.sbi (*)
2008-06-17 Includes\Spyware.sbi (*)
2008-06-17 Includes\SpywareC.sbi (*)
2008-06-03 Includes\Tracks.uti
2008-06-24 Includes\Trojans.sbi (*)
2008-06-25 Includes\TrojansC.sbi (*)
2008-03-04 Plugins\Chai.dll
2008-03-05 Plugins\Fennel.dll
2008-02-26 Plugins\Mate.dll
2007-12-24 Plugins\TCPIPAddress.dll

-hijackthis (noch in der version v1991) laufen lassen:

Code:

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 16:08: VIRUS ALERT!, on 05.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\FolderSize\FolderSizeSvc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\UPHClean\uphclean.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Mozilla Firefox_2.0_RC1\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\Programme\hijackthis_198\HJT1991.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O15 - Trusted Zone: h**p://*.aolcdn.com
O15 - Trusted Zone: h**p://*.shoutcast.com
O15 - Trusted Zone: h**p://*.winamp.com
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: tfnslopk - {42484978-AB82-4FD8-9113-1C8016D942A6} - C:\WINDOWS\tfnslopk.dll
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing)
O23 - Service: Folder Size (FolderSize) - Brio - C:\Programme\FolderSize\FolderSizeSvc.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

gefixt hatte ich:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O21 - SSODL: tfnslopk - {42484978-AB82-4FD8-9113-1C8016D942A6} - C:\WINDOWS\tfnslopk.dll

-ich habe dann über regedit (ging dann schonmal wieder) den taskmanager und die ie-stasrtseite auf about:blank gesetzt
anm: ich surfe aber immer über firefox.

-das startmenü habe ich mir über taskleiste-eigenschaften wieder zurechtgebaut.

-ich habe mit kaspersky 7 schonmal gescannt und was gefunden wurde entfernt

Code:

ATTFilter

Arbeitsplatz untersuchen : abgeschlossen
----------------------------------------
Untersucht:	643950
Gefunden:	3
Nicht bearbeitet:	0
Start:	05.08.2008 17:35: VIRUS ALERT!
Dauer:	17:53:35
Ende:	06.08.2008 11:29: VIRUS ALERT!

Gefunden
--------
Status	Objekt
------	------
gelöscht: trojanisches Programm Backdoor.Win32.Hupigon.dckd	Datei: C:\*ABGEKÜRZT*\4-SmitfraudFix\SmitfraudFix.zip/SmitfraudFix/swsc.exe//UPX
gelöscht: trojanisches Programm Backdoor.Win32.Hupigon.dckd	Datei: C:\*ABGEKÜRZT*\4-SmitfraudFix\SmitfraudFix\swsc.exe//UPX
gelöscht: trojanisches Programm Backdoor.Win32.Hupigon.dckd	Datei: C:\WINDOWS\system32\swsc.exe//UPX

anm: überall dieser blöde kommentar VIRUS ALERT!

dann habe ich CCleaner aktualisiert, sowie hijackthis .

jetzt lass ich mal CCleaner laufen, und HijackThis in der neuen version.
dann poste ich das ergebnis.

anm: ich halte mein system möglichst up-to-date, es werden alle windows-updates installiert (ausser sp3 - habe da von einigen problemen gehört und ich mich voher schlau machen wollte), ich habe auch unnötige dienst weitegehends abgeschaltet - hatte diensteabschalten schon früher einmal runtergeladen.
ich habe auch schonmal secuniaPSI und combofix runtergeladen - aber noch nicht gestartet - ich wolllte das lieber nicht auf eigeninitative machen - bzw mich von einem fachmann leiten lassen.
also ich wäre sehr dankbar, wenn sich einer meiner annehmen würde.
vielen dank im vorraus.

Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe.

Plagegeister aller Art und deren Bekämpfung: Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe.

Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe.

Ähnliche Themen: Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe.