bitte um beurteilung dieses logs
 

der pc gehört einer kollegin von mir, sie wurde von ihrem provider auf den
trojaner aufmerksam gemacht. ihr sohn hat sich ihn per msn eingefangen.

ich habe danach mit antivir versucht schlimmeres zu verhindern habe einige
male gescannt und dann auch immer wieder gelöscht, wenn er etwas gefunden hat.

aber zum ganz sicher gehen, dass nun nichts mehr auf dem pc rumschwirt, dass nicht soll habe ich noch ein log erstellt mit HJT.
währe nett von euch, wenn sich das jemand mal anschauen könnte. danke.

Logfile of HijackThis v1.99.1
Scan saved at 19:45:05, on 26.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wwSecure.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqWRG.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\SurfAccuracy\SAcc.exe
C:\WINDOWS\twpdnn.exe
C:\Programme\Webroot\Washer\wwDisp.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Programme\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = i ha gminnt dä bruchemer itz nimme....
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - _{00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Programme\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Programme\MyWebSearch\bar\2.bin\MWSBAR.DLL
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - (no file)
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - C:\Programme\SideFind\sfbho.dll
O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - (no file)
O4 - HKLM\..\Run: [HPpromo psc 2175] "C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpqWRG.exe" /N "psc 2175" -r
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\2.bin\MWSBAR.DLL,S
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe
O4 - HKLM\..\Run: [Á³# L"h'þ9Óœð3rÅWC:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\nnafrqe.exe
O4 - HKLM\..\Run: [ReJf5vH] C:\WINDOWS\twpdnn.exe
O4 - HKCU\..\Run: [Window Washer] C:\Programme\Webroot\Washer\wwDisp.exe
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\2.bin\mwsoemon.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\Programme\SideFind\sidefind.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Washer AutoComplete (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\system32\wwSecure.exe

danke schonmal im voraus.

Sieht nicht gut aus. Neben einigen Spy- und Adwareeinträgen auch weitere Komponenten:

C:\WINDOWS\twpdnn.exe
C:\WINDOWS\nnafrqe.exe

Werte diese Dateien mal bitte bei Virustotal aus und poste das Ergebnis inkl. Infos zu Dateigrößen, md5 und sha1.

danke für die prompte antwort. da ich aber in dem buisness ein völliger
anfänger bin, habe ich noch einige fragen:
wie muss ich das bei virustotal genau anstellen?
und muss ich dazu online sein? denn ich möchte die kiste eigentlich nicht an
mein router hängen!!! oder muss ich da keine bedenken haben?
was genau meinst du mit auswerten lassen der dateien? kann ich denen einfach
das HJT log senden oder die dateien ???

entschuldige bitte die fragen hab schon ne kleine ahnung von pc's aber trojaner
u.s.w. ist neuland...

Oje, dann wird eine Bereinigung nicht gerade einfach für dich sein. Ein Neuaufsetzen des Systems ist eh die sicherere Methode. :rolleyes:

Aber hier nochmal eine Beschreibung zum prinzipiellen Ablauf der Auswertung einer verdächtigen Datei: Du gehst auf Virustotal - nat. muss man dabei online sein - und klickst rechts oben auf Durchsuchen und wählst die zu scannende Datei aus. Alternativ kannst du auch die komplette Pfadangabe zur Datei mit STRG+C kopieren und in das Dateifeld von Virustotal mit STRG+V hineinkopieren.
Jedenfalls klickst du danach auf SEND und wartest auf die Ergebnisse. Diese postest du hier. Das gleich Spiel wiederholst du mit der zweiten Datei.

nun soweit sogut. habe den scan bei virustotal machen lassen:

C:\WINDOWS\nnafrqe.exe:
http://www.virustotal.com/vt/en/resultadof?c8e32adc7b1d11c3690686aa644f4aab

überall kein virus gefunden:

File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709


C:\WINDOWS\twpdnn.exe:
http://www.virustotal.com/vt/en/resultadof?e8810fc5cef86c1e1830c05ccb10ef6d

ebenfalls überall kein virus gefunden

File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709

so und nun was soll ich als nächstes tun?
achja die datei nnafrqe.exe hab ich nicht gefunden im windows ordner, da habe ich den pfad bei virustotal eingegben so wie er von dir angegben wurde.

danke schonmal

Mach mal folgendes:
Notfalls im abgesicherten Modus diese Ordner löschen:

C:\Programme\MyWebSearch\
C:\Programme\SurfAccuracy\
C:\Programme\SideFind\

Du besorgst dir auch Killbox und löscht folgende Dateien:

C:\WINDOWS\twpdnn.exe
C:\WINDOWS\nnafrqe.exe

Kopier dazu die Pfadanangaben zuerst von einer Datei in das Adressfeld von Killbox. Dann aktivierst du die Option "Delete on reboot" und klickst auf das rote Schild mit dem weißen X. Die folgende Frage mit Nein beantworten, sonst würde das System neustarten, aber wir wollen ja, das beide Dateien beim nächsten Systemstart gelöscht werden.
Das gleich machst du dann mit der anderen Datei auch und startest dann das System neu.
Schau mal dann in den neuen Ordner C:\!KILLBOX\ nach, ob sich dort die Dateien drin befinden, denn Killbox verschiebt die Dateien nur. Achte darauf, dass alle Dateien angezeigt werden.

Dann sehen wir weiter.

hy again,

so hab das alles getan, was du gesagt hast und jetzt nochmals ein log
mit HJT gemacht.

Logfile of HijackThis v1.99.1
Scan saved at 10:03:02, on 30.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wwSecure.exe
C:\Programme\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = i ha gminnt dä bruchemer itz nimme....
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
R3 - URLSearchHook: (no name) - _{00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
O2 - BHO: BHObj Class - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - (no file)
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - (no file)
O2 - BHO: BHObj Class - {8F4E5661-F99E-4B3E-8D85-0EA71C0748E4} - (no file)
O2 - BHO: BAHelper Class - {A3FDD654-A057-4971-9844-4ED8E67DBBB8} - (no file)
O3 - Toolbar: YourSiteBar - {86227D9C-0EFE-4f8a-AA55-30386A3F5686} - (no file)
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: SideFind - {10E42047-DEB9-4535-A118-B3F6EC39B807} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Washer AutoComplete (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\system32\wwSecure.exe



thanks a lot

Sind die Dateien, die mit Killbox gelöscht wurden, jetzt auch im Ordner C:\!KILLBOX\ ? :confused:
Wenn ja dann werte diese nacheinander bei Virustotal aus und poste sämtliche Ergebniss (auch Infos zu Dateigröße etc.).

Bitte auch diese Datei auswerten lassen => C:\WINDOWS\system32\shdocvw.dll

im ordner C:\!KILLBOX\ sind keine datein ausser folgendes log file:
folgende meldung ist noch aufgetreten, als ich beim zweiten file dann auf neustart geklickt habe gemäss deiner anleitung:

http://www.philippedubach.ch/priv_da...ermeldungt.JPG

Pocket Killbox version 2.0.0.881
Running on Windows XP as user(Administrator)
was started @ Samstag, Dezember 30, 2006, 9:43 AM

# 1 [Delete on Reboot]
Path = C:\WINDOWS\twpdnn.exe


# 2 [Delete on Reboot]
Path = C:\WINDOWS\nnafrqe.exe


PendingFileRenameOperations Registry Data has been Removed by External Process! @ 9:44:56 AM
# 3 [Delete on Reboot]
Path = C:\WINDOWS\nnafrqe.exe


PendingFileRenameOperations Registry Data has been Removed by External Process! @ 9:45:28 AM
Killbox Closed(Exit) @ 9:45:30 AM
__________________________________________________

Pocket Killbox version 2.0.0.881
Running on Windows XP as user(Administrator)
was started @ Sonntag, Dezember 31, 2006, 11:35 AM




die datei shdocvw.dll hab ich bei virustotal auswerten lassen:

http://www.virustotal.com/vt/en/resultadof?4163bea19d195c78ec96732d5fd96459

http://www.philippedubach.ch//priv_d...Virustotal.JPG

Lässt du auch die versteckten und geschützten Systemdateien anzeigen?
Schädlingsdateien haben häufig diese Attribute, da Windows per default solche Dateien ausblendet.

lasse alle dateien anzeigen. allerdings ist da nur xp home drauf aber das sollte ja
keine unterschied machen. habe ihn heute ein wenig laufen lassen, dann hat avira
folgende meldung gemacht:

http://www.philippedubach.ch/priv_da...entf/avira.jpg

habe dann auf löschen und ok geklickt.

auf den ordner (C:\System Volume Information....) wo sich angeblich das ding drinn befindet habe ich kein zugriff! ist ja normal oder?

was grundlegendes:
wenn ich das system neu afsetze hab ich dann ruhe oder kann es sein, dass ich
dann immer noch was drauf habe? denn wenn ich mit einer neuinstallation alles
beheben kann, dann werd ich das tun.

Ja, da hat man normalerweise keinen Zugriff drauf, nur das System selber schreibt die die Daten der Wiederherstellungspunkte rein. Um diesen Ordner zu leeren, müsstest du die Systemwiederherstellung deaktivieren.
Eine Neuinstallation des Systems ist immer am sichersten, da man dann wirklich sicher gehen kann, dass alle Schädlinge weg sind. Allerdings muss auch die Platte bzw. die Systempartition vorher formatiert werden (Quickformat sollte reichen).
Beachte, dass das System vor der ersten Internetverbindung abzusichern ist! Folge dem Link "neu aufsetzen" in meiner Signatur.

ok werde dann eine neuinstallation machen und die punkte die empfohlen werden
speziell beachten.

besten dank für deine hilfe.

gruss tony