hg.exe und ieso0.dll beim start wie entfernen?

occ · 05.09.2008, 17:34

die experten sind gefragt!
als laie, was die interne administration eines computers anbelangt, hab ich mir offensichtlich folgende trojaner, oder was auch immer was eingefangen:

hg.exe
ieso0.dll

mein av programm ist avg-free, es erkennt diese files beim starten des rechners, und heilt sie wohl auch. beim neustart sind die files jedoch immer wieder da.
hijackthis hab ich schon mal loggen lassen, wie ihr in ähnlichen fällen empfiehlt, aber jetzt weiss ich natürlich nicht weiter.
in den 10 jahren, in denen ich rechner benutze, ist mir sowas noch nicht vorgefallen. wer kann helfen? gehe jetzt gleich ins verdiente we, ich hoffe auf nützliche tips bis montag.
danke im voraus an denjenigen, der sich damit auskennt.

Chris4You · 05.09.2008, 18:55

Hi,

bitte ein HJ-Log gemäß der Signatur, MAM (http://www.trojaner-board.de/51187-anleitung-malwarebytes-anti-malware.html) laden/installieren und scannen/beseitigen lassen, beide Logs posten...

ieso0.dll->http://www.prevx.com/filenames/X5260936020118316-X1/IESO0.DLL.html

chris

Chris4You · 08.09.2008, 15:48

Hi,

Killbox:
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html
oder
http://www.wintotal.de/Software/index.php?id=4101

Options: Delete on Reboot --> anhaken
reinkopieren:
C:\0liyv.com
C:\f.bat
C:\ov.cmd
C:\1t6yxlxx.cmd
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

PC neustarten

Combofix:
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/combofix/de/wie-combofix-benutzt-wird

chris

occ · 08.09.2008, 18:30

lieber chris,
klappt ja alles gut bis jetzt, deine anweisungen sind sehr klar, und werden auch ohne murren des rechners ausgeführt.
um dirs nicht so einfach zu machen: das logfile von combofix ist in italienischer sprache, weil das betriebssystem eben in italienisch ist (rechner und benutzer, also meine wenigkeit, sind z.zt eben in italien)
ps: habe beim loggen den usb stick dringelassen, wie zu erwarten war, ist auch dort jede menge an spionen zu tage gekommen.

daumen drück, danke schonmal im voraus
tho

ComboFix 08-09-05.09 - ***** 2008-09-08 19.14.31.1 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1040.18.561 [GMT 2:00]
Eseguito da: C:\Documents and Settings\*****\Desktop\ComboFix.exe
* Creato nuovo punto di ripristino

ATENÇÃO - ESTA MAQUINA NAO TEM A CONSOLE DE RECUPERAÇÃO INSTALADA !!
.

((((((((((((((((((((((((((((((((((((( Altre eliminazioni )))))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\0liyv.com
C:\1t6yxlxx.cmd
C:\Autorun.inf
C:\DOCUME~1\thore\IMPOST~1\Temp\tru1.tmp
C:\Documents and Settings\*****\Cookies\thore@ad.adfill[1].txt
C:\Documents and Settings\*****\Cookies\thore@indextools[2].txt
C:\Documents and Settings\*****\Cookies\thore@serving-sys[1].txt
C:\Documents and Settings\*****\Cookies\thore@tradedoubler[2].txt
C:\Documents and Settings\*****\Cookies\thore@traffictrack[2].txt
C:\WINDOWS\recover.reg
C:\WINDOWS\system32\autorun.ini
C:\WINDOWS\system32\ckvo.exe
C:\WINDOWS\system32\ckvo0.dll
C:\WINDOWS\system32\ckvo1.dll
C:\WINDOWS\system32\fool0.dll
C:\WINDOWS\system32\ieso0.dll
C:\WINDOWS\system32\kxvo.exe
D:\0liyv.com
D:\1t6yxlxx.cmd
D:\Autorun.inf
D:\f.bat
D:\ov.cmd
F:\0liyv.com
F:\1t6yxlxx.cmd
F:\autorun.inf
F:\f.bat
F:\ov.cmd
F:\tyktjfww.exe

.
((((((((((((((((((((((((( Files Creati Da 2008-08-08 al 2008-09-08 )))))))))))))))))))))))))))))))))))
.

2008-09-08 19:07 . 2008-09-08 19:07 <DIR> d-------- C:\!KillBox
2008-09-08 17:28 . 2008-09-08 17:28 <DIR> d-------- C:\WINDOWS\system32\it
2008-09-08 17:28 . 2008-09-08 17:28 <DIR> d-------- C:\WINDOWS\system32\bits
2008-09-08 17:28 . 2008-09-08 17:28 <DIR> d-------- C:\WINDOWS\l2schemas
2008-09-08 17:27 . 2008-09-08 17:27 <DIR> d-------- C:\WINDOWS\ServicePackFiles
2008-09-08 15:28 . 2008-09-08 15:28 <DIR> d-------- C:\Programmi\PrevxCSI
2008-09-08 15:28 . 2008-09-08 15:28 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\PrevxCSI
2008-09-08 15:28 . 2008-09-08 15:28 17,408 --a------ C:\WINDOWS\system32\drivers\pxark.sys
2008-09-08 14:41 . 2008-09-08 14:41 <DIR> d-------- C:\Programmi\Malwarebytes' Anti-Malware
2008-09-08 14:41 . 2008-09-08 14:41 <DIR> d-------- C:\Documents and Settings\thore\Dati applicazioni\Malwarebytes
2008-09-08 14:41 . 2008-09-08 14:41 <DIR> d-------- C:\Documents and Settings\All Users\Dati applicazioni\Malwarebytes
2008-09-08 14:41 . 2008-09-08 00:11 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-08 14:41 . 2008-09-08 00:11 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-05 18:09 . 2008-09-05 18:09 <DIR> d-------- C:\Programmi\Trend Micro
2008-09-03 09:54 . 2004-08-03 22:29 1,897,408 --------- C:\WINDOWS\system32\drivers\nv4_mini.sys
2008-09-02 11:44 . 2008-09-02 11:44 <DIR> d-------- C:\Programmi\VML
2008-09-02 11:40 . 2008-09-02 11:40 <DIR> d-------- C:\temp\Download
2008-08-17 17:06 . 2008-05-16 22:13 224,016 --a------ C:\WINDOWS\system32\TABCTL32.OCX
2008-08-17 17:00 . 2008-04-11 21:04 691,712 --------- C:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-17 16:56 . 2008-08-17 16:56 <DIR> d-------- C:\Documents and Settings\*****\Dati applicazioni\AVG7

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-07 09:20 --------- d-----w C:\Programmi\MSECache
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\dllcache\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
2008-07-18 07:08 --------- d-----w C:\Documents and Settings\patrizia\Dati applicazioni\AVG7
2008-07-15 07:19 --------- d-----w C:\Documents and Settings\karen\Dati applicazioni\AVG7
2008-07-08 16:59 --------- d-----w C:\Programmi\SCWA-Software
2008-07-07 20:27 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-07-07 20:27 253,952 ------w C:\WINDOWS\system32\dllcache\es.dll
2008-06-24 16:42 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-24 16:42 74,240 ------w C:\WINDOWS\system32\dllcache\mscms.dll
2008-06-24 08:15 3,592,192 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2008-06-23 09:22 70,656 ----a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-06-23 09:22 625,664 ----a-w C:\WINDOWS\system32\dllcache\iexplore.exe
2008-06-23 09:20 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-06-21 05:23 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll
2008-06-20 17:46 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 17:46 247,296 ------w C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 17:46 147,968 ------w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 11:51 361,600 ------w C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 11:40 138,496 ------w C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 11:08 225,856 ------w C:\WINDOWS\system32\dllcache\tcpip6.sys
2008-06-14 17:32 272,768 ------w C:\WINDOWS\system32\dllcache\bthport.sys
2004-03-11 11:27 40,960 ----a-w C:\Programmi\Uninstall_CDS.exe
2006-05-03 10:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
2007-02-21 11:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
2007-12-17 13:43 27,648 --sh--w C:\WINDOWS\system32\Smab0.dll
.

((((((((((((((((((((((((((((((((((((( Punti Reg Caricati ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* i valori vuoti & legittimi/default non sono visualizzati.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"QuickTime Task"="C:\Programmi\QuickTime\qttask.exe" [2006-06-29 282624]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"LaunchApp"="Alaunch" [X]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2004-10-07 155648]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2004-10-07 126976]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-19 208952]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-19 59392]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-19 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-19 455168]
"RemoteControl"="C:\Programmi\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-21 40960]
"eRecoveryService"="C:\Windows\System32\Check.exe" [2004-11-24 245760]
"MPS"="C:\ACER\PSM.EXE" [2004-03-04 372736]
"MpsOnn"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\MpsOnn.exe" [2001-11-19 22528]
"admtray.exe"="C:\Programmi\acer\eManager\admtray.exe" [2004-10-11 1393664]
"TkBellExe"="C:\Programmi\File comuni\Real\Update_OB\realsched.exe" [2006-01-19 180269]
"QuickTime Task"="C:\Programmi\QuickTime\qttask.exe" [2006-06-29 282624]
"SunJavaUpdateSched"="C:\Programmi\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"Acrobat Assistant 8.0"="C:\Programmi\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2007-05-10 624248]
"Adobe_ID0EYTHM"="C:\PROGRA~1\FILECO~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE" [2007-03-20 1884160]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-04-18 579584]
"NeroFilterCheck"="C:\Programmi\File comuni\Ahead\Lib\NeroCheck.exe" [2007-03-01 153136]
"SecurDisc"="C:\Programmi\Nero\Nero 7\InCD\NBHGui.exe" [2007-05-15 1628208]
"InCD"="C:\Programmi\Nero\Nero 7\InCD\InCD.exe" [2007-05-15 1057328]
"Collegamento alla pagina delle proprietà di High Definition Audio"="HDAudPropShortcut.exe" [2004-08-12 C:\WINDOWS\system32\Hdaudpropshortcut.exe]
"SoundMan"="SOUNDMAN.EXE" [2004-11-01 C:\WINDOWS\SoundMan.exe]
"AlcWzrd"="ALCWZRD.EXE" [2004-11-28 C:\WINDOWS\ALCWZRD.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-02-02 219136]

C:\Documents and Settings\*****\Menu Avvio\Programmi\Esecuzione automatica\
Adobe Gamma.lnk - C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]

C:\Documents and Settings\All Users\Menu Avvio\Programmi\Esecuzione automatica\
AlarmS4.lnk - C:\WINDOWS\system32\AlarmS4.exe [2003-02-20 241664]
Adobe Gamma.lnk - C:\Programmi\File comuni\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]
Net Send GUI.lnk - C:\Programmi\Fomine Net Send GUI\NetSendGUI.exe [2006-10-15 196608]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"DisablePersonalDirChange"= 1 (0x1)
"ForceStartMenuLogOff"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.I420"= i420vfw.dll
"vidc.yv12"= yv12vfw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3344813579-301442978-2783060407-1129\Scripts\Logon\0\0]
"Script"=logon.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3344813579-301442978-2783060407-1130\Scripts\Logon\0\0]
"Script"=logon.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3344813579-301442978-2783060407-1133\Scripts\Logon\0\0]
"Script"=logon.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3344813579-301442978-2783060407-1135\Scripts\Logon\0\0]
"Script"=logon.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3344813579-301442978-2783060407-1136\Scripts\Logon\0\0]
"Script"=logon.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3344813579-301442978-2783060407-1137\Scripts\Logon\0\0]
"Script"=logon.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3344813579-301442978-2783060407-1138\Scripts\Logon\0\0]
"Script"=logon.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3344813579-301442978-2783060407-1139\Scripts\Logon\0\0]
"Script"=logon.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3344813579-301442978-2783060407-1140\Scripts\Logon\0\0]
"Script"=logon.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3344813579-301442978-2783060407-1141\Scripts\Logon\0\0]
"Script"=logon.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3344813579-301442978-2783060407-1185\Scripts\Logon\0\0]
"Script"=logon.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3344813579-301442978-2783060407-1186\Scripts\Logon\0\0]
"Script"=logon.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3344813579-301442978-2783060407-1187\Scripts\Logon\0\0]
"Script"=logon.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3344813579-301442978-2783060407-1191\Scripts\Logon\0\0]
"Script"=logon.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3344813579-301442978-2783060407-1193\Scripts\Logon\0\0]
"Script"=logon.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3344813579-301442978-2783060407-1202\Scripts\Logon\0\0]
"Script"=logon.vbs

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 pxark;pxark;C:\WINDOWS\system32\drivers\pxark.sys [2008-09-08 17408]
R2 CSIScanner;CSIScanner;C:\Programmi\PrevxCSI\prevxcsi.exe [2008-09-08 618040]
R2 OsaFsLoc;OsaFsLoc;C:\WINDOWS\system32\drivers\OsaFsLoc.sys [2004-07-16 9901]
R2 osaio;osaio;C:\WINDOWS\system32\drivers\osaio.sys [2004-09-20 10363]
R3 int15.sys;int15.sys;C:\Programmi\acer\eRecovery\int15.sys [2004-11-03 69632]
R3 PortRW;PortRW;C:\WINDOWS\system32\Drivers\PortRW.sys [2003-08-15 3456]
*****
S3 NdisFilt;OSA NdisFilter Protocol;C:\WINDOWS\system32\Drivers\NdisFilt.sys [2004-06-07 5035]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{46c7afc2-6458-11dd-b64a-00016ccebf8c}]
\Shell\AutoRun\command - F:\0liyv.com
\Shell\explore\Command - F:\0liyv.com
\Shell\open\Command - F:\0liyv.com

*Newly Created Service* - PROCEXP90
.
Contenuto della cartella 'Scheduled Tasks'
.
- - - - ORFÃOS REMOVIDOS - - - -

HKCU-Run-kamsoft - C:\WINDOWS\system32\ckvo.exe

.
------- Supplementary Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.google.de/
R1 -: HKCU-Internet Settings,ProxyOverride = *.local
O8 -: &Save Flash In This Page by Flash Saver - C:\PROGRA~1\FLASHS~1\save.htm
O8 -: Aggiungi a PDF esistente - C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 -: Converti destinazione link in Adobe PDF - C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 -: Converti destinazione link in file PDF esistente - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 -: Converti i link selezionati in Adobe PDF - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 -: Converti i link selezionati in file PDF esistente - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 -: Converti in Adobe PDF - C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 -: Converti nel file PDF esistente - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 -: Converti selezione in Adobe PDF - C:\Programmi\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 -: Converti selezione in file PDF esistente - C:\Programmi\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 -: Download with GetRight - C:\Programmi Thore\GetRight\GRdownload.htm
O8 -: E&sporta in Microsoft Excel - C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 -: Open with GetRight Browser - C:\Programmi Thore\GetRight\GRbrowse.htm
O17 -: HKLM\CCS\Interface\{857CDE45-DA79-4A94-96F7-D4ACEC40BDEA}: NameServer = 192.200.20.200,212.216.112.112

O16 -: {1F831FA9-42FC-11D4-95A6-0080AD30DCE1} - file:///C:/Programmi%20Thore/ac/InstFred.ocx
C:\WINDOWS\Downloaded Program Files\InstFred.ocx

O16 -: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} - hxxps://stream.web.de/mail/activex/mail_upload_11213.cab
C:\WINDOWS\Downloaded Program Files\mail_upload.inf
C:\WINDOWS\system32\msvcrt.dll
C:\WINDOWS\system32\mfc42.dll
C:\WINDOWS\system32\olepro32.dll
C:\WINDOWS\system32\msvcp60.dll
C:\WINDOWS\Downloaded Program Files\mail_upload.ocx
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-08 19:17:07
Windows 5.1.2600 Service Pack 3 FAT NTAPI

scansione processi nascosti ...

scansione entrate autostart nascoste ...

Scansione files nascosti ...

Scansione completata con successo
Files nascosti: 0

**************************************************************************
.
Ora fine scansione: 2008-09-08 19:18:27
ComboFix-quarantined-files.txt 2008-09-08 17:18:24

Pre-Run: 8,360,263,680 byte disponibili
Post-Run: 10,364,026,880 byte disponibili

259 --- E O F --- 2008-09-08 15:32:29

Chris4You · 09.09.2008, 08:30

Hi,

es gibt noch drei versteckte Files, bei denen ich mir unschlüssig bin,
daher bitte online prüfen lassen:
Weiterhin ein Systemtreiber der von Acer sein kann oder auch ein Virus...

Bitte folgende Files prüfen:

Zitat:

C:\WINDOWS\system32\flvDX.dll
C:\WINDOWS\system32\msfDX.dll
C:\WINDOWS\system32\Smab0.dll
C:\WINDOWS\system32\drivers\OsaFsLoc.sys

http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
Poste das Ergebnis pro File (mit Filename)....

Chris

Ps.: Java bitte noch updaten und wenn Du Dich mit Regedit auskennst,
diesen Key komplett löschen (dort wird per Mountpoint versucht die Maleware zu starten):

Code:

ATTFilter

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{46c7afc2-6458-11dd-b64a-00016ccebf8c}

Alternativ erstelle ich ein ComboFix-Script was das erledigt...

Java:
Deine Javasoftware ist veraltet,
Download jre-6u7-windows-i586-p.exe
Scrolle runter nach ---->Java Runtime Environment (JRE) 6u7
The Java SE Runtime Environment (JRE) allows end-users to run Java applications.
Klicke auf "Download"
Setze ein Haeckchen bei --->"Accept License Agreement".
Klicke “Windows Offline Installation, Multi-language” um
“jre-6-windows-i586.exe”zum Desktop zu installieren
Schliesse alle Programme auch Deinen Webbrowser
Über "Start -> Einstellungen -> Systemsteuerung -> Software
entferne alle aelteren Versionen von Java Runtime Environment (JRE of J2SE)
Auch auf C:\Programme\Java entfernen!
Nachdem alles entfernt wurde --->Rechner neu starten
Installiere jetzt vom Desktop aus ---> “jre-6u7-windows-i586-p.exe”

Und zum Abschluss nochmal ein neues HJ-Log...

occ · 09.09.2008, 12:13

lieber chris,
- ok virustotal scan.
(ergebnisse in kurzform in der anlage, mir scheint, da ist alles soweit in ordnung)
- ok java komplett runtergeschmissen
- ok regedit bearbeitet (file gfunden und geloescht)
- ok computer neu gestartet
(- trotz allem beim neustart des rechners von prevx ein popup erhalten, das mich auf diverse infizierte files hinweist, vielleicht ist das ja aber einfach nur eine verkaufsmasche von prevx)
- ok java neu installiert
- ok highjack log erstellt, findest du in meinem nächsten post, damits nicht so unübersichtlich wird.

ich frag mich schonmal, wie man sich für diesen service bei dir bedanken kann.

ergebnisse virustotal in kurzform:

Datei flvDX.dll empfangen 2008.09.04 22:57:35 (CET)
Status: Beendet
Ergebnis: 1/36 (2.78%)
eSafe 7.0.17.0 2008.09.03 Suspicious File

Datei msfDX.dll empfangen 2008.09.02 18:58:43 (CET)
Status: Beendet
Ergebnis: 1/36 (2.78%)
eSafe - - Suspicious File

Datei Smab0.dll empfangen 2008.08.30 07:35:16 (CET)
Status: Beendet
Ergebnis: 2/36 (5.56%)
eSafe - - Suspicious File
Webwasher-Gateway - - Win32.Malware.gen!88 (suspicious)

Datei OsaFsLoc.sys empfangen 2008.09.09 12:23:45 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
￹FPRIVATE "TYPE=PICT;ALT="
Ergebnis: 0/36 (0%)
SELTSAM, ICH HABE MIT strgC/strgV DEN TEXT KOPIERT, ABER AUF DEM BILDSCHIRM WAR DIE NACHRICHT: "alles OK, nichts gefunden, scan beendet"

hg.exe und ieso0.dll beim start wie entfernen?

Plagegeister aller Art und deren Bekämpfung: hg.exe und ieso0.dll beim start wie entfernen?