Trojaner-Board - Auf erfolgloser Virenjagd.... Kann hier jemand was ungewöhnliches entdecken?

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Auf erfolgloser Virenjagd.... Kann hier jemand was ungewöhnliches entdecken? (https://www.trojaner-board.de/27987-erfolgloser-virenjagd-jemand-ungewoehnliches-entdecken.html)

Auf erfolgloser Virenjagd.... Kann hier jemand was ungewöhnliches entdecken?

Hallo alle!

Seit ein paar Tagen meldet meine Firewall (Kerio) einige veränderte Programme. Z.B ist Regedit von 153600 bytes (Mein zweiter Rechner zeigt diese Größe) auf 210423 bytes größer geworden. Jede Exe die ich aufrufe, wird in ähnlicher Weise infiziert. Außerdem versucht sich der Explorer ins Internet zu verbinden, zu den Adressen 65.98.38.30, 217.195.47.206 und 66.36.241.147. Noch läuft Kerio stabil und blockt alles ab.
Ich habe schon Antivir, AVG Free, GData WormRemover, Stinger, Spybot und Adaware drüberlaufen lassen, also eine ganze Armada, aber finde nichts.
Nun hab ich hier ein Log von Hijackthis, einige Einträge erscheinen mir auch nicht ganz koscher, aber es hilft ja nichts, wenn ich nur den F2 Eintrag entferne, der Virus oder was auch immer das ist, sitzt ja immer noch auf anderen Programmen drauf.

Vielleicht kann mir einer von euch helfen, was das sein könnte.

Danke

Hier das Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 16:35:28, on 30.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Prg\internet\AntiVir PersonalEdition Classic\sched.exe
C:\Prg\internet\AntiVir PersonalEdition Classic\avguard.exe
C:\Prg\internet\AVGFRE~1\avgamsvr.exe
C:\Prg\internet\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\Prg\netzwerk\DistinctAgent\AgentSvc.exe
C:\Prg\netzwerk\DistinctAgent\Agent.exe
C:\WINDOWS\System32\ircomm2k.exe
C:\Prg\internet\Kerio\Personal Firewall 4\Personal Firewall 4\kpf4ss.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\oodag.exe
C:\Prg\internet\Kerio\Personal Firewall 4\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Prg\internet\Kerio\Personal Firewall 4\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\MXOALDR.EXE
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
C:\Prg\tools\Daemon\daemon.exe
C:\Prg\system\NetgearWG511\Utility\WG511WLU.exe
C:\Prg\internet\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\Prg\internet\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Prg\system\Radeon Omega Drivers\ATI Tray Tools\atitray.exe
C:\DOKUME~1\ALEXAN~1.SCH\LOKALE~1\Temp\RootkitRevealer.exe
C:\Prg\internet\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w.w.g....e.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:4001
F2 - REG:system.ini: Shell=explorer.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [MXO Auto Loader] C:\WINDOWS\MXOALDR.EXE
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [Nokia Tray Application] C:\Programme\Gemeinsame Dateien\Nokia\Tools\NclTray.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Prg\tools\Daemon\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WG511WLU] C:\Prg\system\NetgearWG511\Utility\WG511WLU.exe -hide
O4 - HKLM\..\Run: [avgnt] "C:\Prg\internet\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVG7_CC] C:\Prg\internet\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AtiTrayTools] "C:\Prg\system\Radeon Omega Drivers\ATI Tray Tools\atitray.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Prg\tools\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Prg\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\Prg\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O10 - Broken Internet access because of LSP provider 'w2pxdrv.dll' missing
O16 - DPF: {12F7F128-B36C-4843-8AA4-A5F71A969331} (Launcher Control) - https://horizons.eu.istaria.com/controls/launcher.ocx
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120435301203
O16 - DPF: {B3872502-F9FD-4E96-93FF-0D37298F0689} (SOESysInfo Control) - http://everquest2.station.sony.com/beta_reg/soesysinfo.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1D58253-F0A2-4369-AB0E-1E5DC36BF14E}: NameServer = 212.18.0.5,212.18.3.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{D91AEA07-E40E-4C4D-B916-B67D22F2F265}: NameServer = 212.18.0.5,212.18.3.5
O23 - Service: Accintdsdnvs - Intel Corporation - (no file)
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Prg\internet\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Prg\internet\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\Prg\internet\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\Prg\internet\AVGFRE~1\avgupsvc.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\System32\drivers\CDAC11BA.EXE
O23 - Service: Distinct Network Monitor Agent (DNMAgent) - Distinct Corporation - C:\Prg\netzwerk\DistinctAgent\AgentSvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Virtueller Infrarot-Kommunikationsanschluß, Dienstprogramm (IrCOMM2kSvc) - Jan Kiszka - C:\WINDOWS\System32\ircomm2k.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Prg\internet\Kerio\Personal Firewall 4\Personal Firewall 4\kpf4ss.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: PZNFNKILFGX - Sysinternals - www.sysinternals.com - C:\DOKUME~1\.......\LOKALE~1\Temp\PZNFNKILFGX.exe
O23 - Service: RadClock - Unknown owner - C:\Prg\system\RadLinker\RadClock.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Prg\system\TuneUp Utilities 2004\WinStylerThemeSvc.exe

Hi alex_74,

Fixe:
F2 - REG:system.ini: Shell=explorer.exe
(Da ist der Hund begraben)
O16 - DPF: {12F7F128-B36C-4843-8AA4-A5F71A969331} (Launcher Control) - h**ps://horizons.eu.istaria.com/controls/launcher.ocx
O16 - DPF: {B3872502-F9FD-4E96-93FF-0D37298F0689} (SOESysInfo Control) - h**p://everquest2.station.sony.com/beta_reg/soesysinfo.cab
O23 - Service: Accintdsdnvs - Intel Corporation - (no file)
O23 - Service: PZNFNKILFGX - Sysinternals - w*w.sysinternals.com - C:\DOKUME~1\.......\LOKALE~1\Temp\PZNFNKILFGX.exe
(unnötig)

Falls dir das "NameServer = 212.18.0.5,212.18.3.5 " nix sagt, mit HJT fixen! (beide einträge)

Dein verdacht war richtig .. irgendwas hat sich eingenistet.
Ich bitte dich darum dein System einmal mit eScan zu scannen.
Halte dich haargenau an die Anleitung, sonst funktioniert es nicht!

Poste dann bitte die eScan Log und fertige eine neue HiJackThis Logfile an.
"O10 - Broken Internet access because of LSP provider 'w2pxdrv.dll' missing" müssen wir noch behandeln wenn die primären Gefahren ausgeschaltet sind :)

Hallo,

lade Dir vorher Blacklight und poste das Log hier.
Sieht nachmehr aus.

Gruß

Schrulli

Hallo,

Zitat:

Falls dir das "NameServer = 212.18.0.5,212.18.3.5 " nix sagt, mit HJT fixen! (beide einträge)

Wird nicht nötig sein.Bei Alex könnte es sich um ein "Münchner Kindl" handeln :)
Sein Provider jedenfalls sitzt dort :party:
Irrlicht

Jep, Münchner Kindl..... DNS Nameserver von MNet......

eScan läuft jetzt gerade. (Seit vier Stunden schon.....)
Horizons und Everquest II.... (die beiden Einträge, zwei Onlinespiele....) bestehen aus hunderttausenden Dateien......

Nebenbei forste ich noch ein wenig durch und habe festgestellt, ich kann auch im abgesicherten Modus drei Dateien aus dem Temp Verzeichnis nicht löschen:

~df6295.tmp (81920 Bytes)
~dfc64e.tmp (81920 Bytes)
perflib_perfdata_6c0.dat (16384 bytes)

Im Moment ist der abgesicherte Modus an, da hab ich kein Internet, aber dann werde ich die Dateien mal online scannen lassen.
Und Blacklight werde ich danach auch laufen lassen.

Grüße

So hallo,

escan hat nichts gefunden...... das logfile will ich nicht posten, hat 38MB.... ;-)

Blacklight hat folgendes gefunden:
03/31/06 21:40:39 [Info]: BlackLight Engine 1.0.33 initialized
03/31/06 21:40:39 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/31/06 21:40:39 [Note]: 7019 4
03/31/06 21:40:39 [Note]: 7005 0
03/31/06 21:40:45 [Note]: 7006 0
03/31/06 21:40:45 [Note]: 7011 700
03/31/06 21:40:46 [Note]: FSRAW library version 1.7.1015
03/31/06 21:41:13 [Info]: Hidden file: C:\SYZ_DAT\ali.exe
03/31/06 21:41:13 [Note]: 7002 0
03/31/06 21:41:13 [Note]: 7003 1
03/31/06 21:41:13 [Note]: 10002 3
03/31/06 21:41:13 [Info]: Hidden file: C:\SYZ_DAT\cdlock.dll
03/31/06 21:41:13 [Note]: 7002 0
03/31/06 21:41:13 [Note]: 7003 1
03/31/06 21:41:13 [Note]: 10002 3
03/31/06 21:41:13 [Info]: Hidden file: C:\SYZ_DAT\cpy.exe
03/31/06 21:41:13 [Note]: 10002 3
03/31/06 21:41:13 [Info]: Hidden file: C:\SYZ_DAT\dirlist
03/31/06 21:41:13 [Note]: 7002 0
03/31/06 21:41:13 [Note]: 7003 1
03/31/06 21:41:13 [Note]: 10002 3
03/31/06 21:41:13 [Info]: Hidden file: C:\SYZ_DAT\DL.BAK
03/31/06 21:41:13 [Note]: 7002 0
03/31/06 21:41:13 [Note]: 7003 1
03/31/06 21:41:13 [Note]: 10002 3
03/31/06 21:41:13 [Info]: Hidden file: C:\SYZ_DAT\EMF_Decrypt.exe
03/31/06 21:41:13 [Note]: 7002 0
03/31/06 21:41:13 [Note]: 7003 1
03/31/06 21:41:13 [Note]: 10002 3
03/31/06 21:41:13 [Info]: Hidden file: C:\SYZ_DAT\fldrvw61.ocx
03/31/06 21:41:13 [Note]: 7002 0
03/31/06 21:41:13 [Note]: 7003 1
03/31/06 21:41:13 [Note]: 10002 3
03/31/06 21:41:13 [Info]: Hidden file: C:\SYZ_DAT\install.exe
03/31/06 21:41:13 [Note]: 10002 3
03/31/06 21:41:13 [Info]: Hidden file: C:\SYZ_DAT\magic.exe
03/31/06 21:41:13 [Note]: 7002 0
03/31/06 21:41:13 [Note]: 7003 1
03/31/06 21:41:13 [Note]: 10002 3
03/31/06 21:41:13 [Info]: Hidden file: C:\SYZ_DAT\mf.chm
03/31/06 21:41:13 [Note]: 7002 0
03/31/06 21:41:13 [Note]: 7003 1
03/31/06 21:41:13 [Note]: 10002 3
03/31/06 21:41:13 [Info]: Hidden file: C:\SYZ_DAT\mf.txx
03/31/06 21:41:13 [Note]: 7002 0
03/31/06 21:41:13 [Note]: 7003 1
03/31/06 21:41:13 [Note]: 10002 3
03/31/06 21:41:13 [Info]: Hidden file: C:\SYZ_DAT\mfx
03/31/06 21:41:13 [Note]: 7002 0
03/31/06 21:41:13 [Note]: 7003 1
03/31/06 21:41:13 [Note]: 10002 3
03/31/06 21:41:13 [Info]: Hidden file: C:\SYZ_DAT\MFX.CFG
03/31/06 21:41:13 [Note]: 7002 0
03/31/06 21:41:13 [Note]: 7003 1
03/31/06 21:41:13 [Note]: 10002 3
03/31/06 21:41:13 [Info]: Hidden file: C:\SYZ_DAT\mfx_cfg.org
03/31/06 21:41:13 [Note]: 7002 0
03/31/06 21:41:13 [Note]: 7003 1
03/31/06 21:41:13 [Note]: 10002 3
03/31/06 21:41:13 [Info]: Hidden file: C:\SYZ_DAT\readme.txt
03/31/06 21:41:13 [Note]: 7002 0
03/31/06 21:41:13 [Note]: 7003 1
03/31/06 21:41:13 [Note]: 10002 3
03/31/06 21:41:13 [Info]: Hidden file: C:\SYZ_DAT\systray.exe
03/31/06 21:41:13 [Note]: 10002 3
03/31/06 21:41:13 [Info]: Hidden file: C:\SYZ_DAT\tb.exe
03/31/06 21:41:13 [Note]: 7002 0
03/31/06 21:41:13 [Note]: 7003 1
03/31/06 21:41:13 [Note]: 10002 3
03/31/06 21:42:04 [Info]: Hidden file: C:\WINDOWS\system32\drivers\MFX.sys
03/31/06 21:42:04 [Note]: 7002 0
03/31/06 21:42:04 [Note]: 7003 1
03/31/06 21:42:04 [Note]: 10002 1

Das sollte aber nichts böses sein, ich hatte mal Magic Folders installiert, der lässt anscheinend so etwas übrig. Werde ich mal versuchen zu löschen.

Es sind aber wieder zwei neue Programme verändert laut Kerio:
MXOALDR und Servicelayer, die beim Hochfahren geladen werden..... GRRRR!!

Außerdem haben wuauclt.exe und wuauclt1.exe nicht dieselbe Größe wie auf meinem anderen Rechner.
Kann es sein, daß Spyware Doctor beim immunisieren Dateien verändert?

Bei Dr Web wird übrigends bei den Dateien der Virus W32.Polipos entdeckt. Da s lasse ich nochmal mit der Tryout Version scannen.
Auf der Seite Virustotal ist das aber der einzige Scanner, der hier einen Virus entdeckt..... seltsam?

Na, morgen probiere ich weiter, bin aber schon für Tips offen....

Danke

OK, habe jetzt Dr. Web drüberlaufen lassen.....

ca. 350 Infektionen mit Win32.polipos

Lassen sich aber leider nicht bereinigen, ich kann die Dateien nur löschen. Hat jemand von diesem Virus schonmal gehört? Im Internet finde ich nur russisches dazu.......

Ich komme wohl nicht darum, den Rechner neu zu installieren, da etwa 200 von den Dateien überall in Windows rumliegen.....

Seufz......

Ich finde auch grad keine Alias vom "Win32.polipos", evtl. ein russischer bzw. asiatischer Wurm.

Du kannst natürlich weiter versuchen dein System zu disinfizieren.
Ich jedoch rate dir zur Neuinstallation da diese wesentlich weniger Zeit/Nerven kostet :dummguck:

Das hab ich dann auch getan.....

Das System lief eh schon zweieinhalb Jahre, war durchaus Zeit, mal wieder GRÜNDLICH aufzuräumen...... ;-)

Tja, jetzt läufts wieder.....

mit Neuinstallierten System fällt mir auf, daß sich mein Wirelessadapter WG511WLU immer zu den internet rootservern verbinden will, auf port domain..... warum sollte der das denn machen wollen????
Ich hab doch einen DNS Server.....
Ich blocke das grad immer, und Internet geht trotzdem fabelhaft....

Hallo,

Zitat:

Zitat von alex_74

Ich blocke das grad immer

da fällt mir ein Zitat ein

Zitat:

Zitat von The Terminator

Hey, just what you see, pal.

;)

Gruß

Schrulli

[edit]
auf wunsch von carlo60 und meldung von rene-gad editiert
[/edit]

GUA

@Carlo60
Was hat dein Posting mit diesem Thread gemeinsam? :confused: Wenn Du Fragen hast - benutze Board/Google-Suche, wenn Du nichts findest - öffne einen neuen Thread im entsprechenden Themenbereich. Hiermit hast Du einen Verstoß gegen Board-Regeln begangen, nämlich Dialogstörung.

Zitat:

Dialogstörung
Dialogstörung liegt vor, wenn ein Mitglied absichtlich den normalen Verlauf der Dialoge in einem Thread stört. Das kann z.B. durch wiederholtes Unterbrechen der Konversation zwischen anderen Mitgliedern geschehen, durch Belästigungen oder durch die Schaffung von Feindbildern oder Feindseligkeiten.

Beitrag gemeldet.

Zitat:

Zitat von alex_74

Hat jemand von diesem Virus schonmal gehört? Im Internet finde ich nur russisches dazu.......

Vielleicht war meine Beantwortung der Frage von alex etwas zu ausführlich, ein einfaches "Ja" war mir aber zu kurz.

Schau mal hier (zu Win32.polipos ):

http://www.drweb-online.com/de/virus_warning.asp

Michael