Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Sprechender Wurm + CiD problem (https://www.trojaner-board.de/49719-sprechender-wurm-cid-problem.html)

morrybyte 21.02.2008 17:17
Sprechender Wurm + CiD problem
 
Hallo! Ich habe schon zuvor böse erfahrung mit Viren gehabt, aber so etwas noch nie:

Der sprechende Wurm (du willst alles haben, du willst nicht das alte, du willst die power, du willst es jetzt!). Hab gesehen, dass jemand ein ähnliches Problem schon ein mal hatte aber gefunden wurde damals nichs, weil kein HJT-log dabei war - das ändere ich jetzt! Das ist ganz neu, eben vor 30 minuten passiert, und zwar war die einzige Deutsche Webseite die ich besucht habe (also *NICHT KLICKEN*) http://www.halomods.bungie.at/. Ich kann mir nicht vorstellen dass englische Seiten einen deutschsprachigen Wurm hätten, mag aber wohl sein.

Das Andere ist dass ich jetzt IE im offline-modus schalten musste weil ständig Fenster aufgingen, die von der CiD Werbeagentur stammen. Zwar mag ich IE sowieso nicht aber manchmal brauch ich es schon. Jetzt will es immer von offline-modus ins online-modus geschalten werden.

Also, zum HJT-log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:15:02, on 21.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\sm56hlpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\System32\Rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Steam\Steam.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Veoh Networks\Veoh\VeohClient.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Huawei technologies\Mobile Connect\Mobile Connect.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\HJT\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.iesearch.com/
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: rightonads optimizer - {7D9362F8-77D8-4b29-97B5-621D550890C0} - C:\WINDOWS\system32\gzmrt.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdm2.dll
O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Programme\Veoh Networks\Veoh\Plugins\reg\VeohToolbar.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAShCut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [postSetupCheck] C:\WINDOWS\System32\Rundll32.exe "C:\WINDOWS\system32\gzmrt.dll" DllStart
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Dale locks] C:\DOKUME~1\FSC\ANWEND~1\PlusPeak\owns love mags.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [Veoh] "C:\Programme\Veoh Networks\Veoh\VeohClient.exe" /VeohHide
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download video with Free Download Manager - file://C:\Programme\Free Download Manager\dlfvideo.htm
O8 - Extra context menu item: Download with Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1201093727265
O17 - HKLM\System\CCS\Services\Tcpip\..\{E5DE4994-52CA-4DA1-84AA-D7D627331F34}: NameServer = 213.94.78.16 213.94.78.17
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

--
End of file - 6180 bytes

Veoh und Free Download manager sind angeblich *clean* Produkte, also weiss ich nicht was es sein könnte.

Bedanke mich recht herzlich schon im Voraus!

Chris4You 21.02.2008 17:25
Hi,

lass folgende Dateien mal online prüfen:
C:\DOKUME~1\FSC\ANWEND~1\PlusPeak\owns love mags.exe
C:\WINDOWS\sm56hlpr.exe
C:\WINDOWS\system32\gzmrt.dll

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Zitat:
C:\DOKUME~1\FSC\ANWEND~1\PlusPeak\owns love mags.exe
C:\WINDOWS\sm56hlpr.exe
C:\WINDOWS\system32\gzmrt.dll
Poste die Ergebnisse mit Filename...

chris

morrybyte 21.02.2008 17:37
C:\DOKUME~1\FSC\ANWEND~1\PlusPeak\owns love mags.exe findet sich nicht - sehr eigenartig!

Habe auch Manuel gesucht, nicht zu sehen...

morrybyte 21.02.2008 18:07
Datei sm56hlpr.exe empfangen 2008.02.21 17:45:22 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/31 (0%)

Datei gzmrt.dll empfangen 2008.02.18 20:02:31 (CET)
Status: Beendet
Ergebnis: 8/32 (25.00%)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.18.0 2008.02.18 -
AntiVir 7.6.0.67 2008.02.18 ADSPY/AdRotator.Gen
Authentium 4.93.8 2008.02.17 -
Avast 4.7.1098.0 2008.02.18 -
AVG 7.5.0.516 2008.02.18 Adware Generic2.ABZT
BitDefender 7.2 2008.02.18 Adware.AdRotator.Gen
CAT-QuickHeal 9.50 2008.02.16 AdWare.TrafficSol.v (Not a Virus)
ClamAV 0.92.1 2008.02.18 -
DrWeb 4.44.0.09170 2008.02.18 -
eSafe 7.0.15.0 2008.02.17 -
eTrust-Vet 31.3.5546 2008.02.18 -
Ewido 4.0 2008.02.18 -
FileAdvisor 1 2008.02.18 -
Fortinet 3.14.0.0 2008.02.18 -
F-Prot 4.4.2.54 2008.02.17 -
F-Secure 6.70.13260.0 2008.02.18 -
Ikarus T3.1.1.20 2008.02.18 AdWare.AdRotator
Kaspersky 7.0.0.125 2008.02.18 not-a-virus:AdWare.Win32.TrafficSol.v
McAfee 5232 2008.02.18 -
Microsoft 1.3204 2008.02.18 -
NOD32v2 2883 2008.02.18 -
Norman 5.80.02 2008.02.15 -
Panda 9.0.0.4 2008.02.17 -
Prevx1 V2 2008.02.18 -
Rising 20.32.02.00 2008.02.18 -
Sophos 4.26.0 2008.02.18 -
Sunbelt 3.0.884.0 2008.02.18 -
Symantec 10 2008.02.18 -
TheHacker 6.2.9.223 2008.02.18 Adware/TrafficSol.v
VBA32 3.12.6.1 2008.02.17 -
VirusBuster 4.3.26:9 2008.02.18 -
Webwasher-Gateway 6.6.2 2008.02.18 Ad-Spyware.AdRotator.Gen

Sind beide also nicht als auffälig angekommen. Was mich verwirrt ist eben diese "PlusPeak" Datei, keine Ahnung was sie ist. Drinnen sind zwei Anwendungen, dich ich jetzt mal gleich zum Spaß überprüfen lasse: "Eq slow store" und "isibmezk". Und eben nicht dieses owns love mags.exe...

EDIT: aha!

Datei Eq_slow_store.exe empfangen 2008.02.21 18:09:00 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 6/32 (18.75%)
Laden der Serverinformationen...

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.22.0 2008.02.21 -
AntiVir 7.6.0.67 2008.02.21 TR/Dldr.Swizzor.Gen
Authentium 4.93.8 2008.02.21 Possibly a new variant of W32/Swizzor-based!Maximus
Avast 4.7.1098.0 2008.02.20 -
AVG 7.5.0.516 2008.02.21 -
BitDefender 7.2 2008.02.21 -
CAT-QuickHeal 9.50 2008.02.20 -
ClamAV None 2008.02.21 -
DrWeb 4.44.0.09170 2008.02.21 -
eSafe 7.0.15.0 2008.02.21 -
eTrust-Vet 31.3.5552 2008.02.21 -
Ewido 4.0 2008.02.21 -
FileAdvisor 1 2008.02.21 -
Fortinet 3.14.0.0 2008.02.21 -
F-Prot 4.4.2.54 2008.02.20 W32/Swizzor-based!Maximus
F-Secure 6.70.13260.0 2008.02.21 -
Ikarus T3.1.1.20 2008.02.21 -
Kaspersky 7.0.0.125 2008.02.21 -
McAfee 5234 2008.02.20 -
Microsoft 1.3204 2008.02.20 -
NOD32v2 2893 2008.02.21 -
Norman 5.80.02 2008.02.21 -
Panda 9.0.0.4 2008.02.21 -
Prevx1 V2 2008.02.21 -
Rising 20.32.32.00 2008.02.21 -
Sophos 4.26.0 2008.02.21 Mal/Swizzor-C
Sunbelt 3.0.884.0 2008.02.21 -
Symantec 10 2008.02.21 -
TheHacker 6.2.9.225 2008.02.21 -
VBA32 3.12.6.1 2008.02.21 -
VirusBuster 4.3.26:9 2008.02.21 Trojan.DL.Swizzor.Gen!Pac.2
Webwasher-Gateway 6.6.2 2008.02.21 Trojan.Dldr.Swizzor.Gen
weitere Informationen

und die andere

Datei isibmezk.exe empfangen 2008.02.21 18:22:39 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 7/32 (21.88%)
Laden der Serverinformationen...

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.2.22.0 2008.02.21 -
AntiVir 7.6.0.67 2008.02.21 TR/Dldr.Swizzor.Gen
Authentium 4.93.8 2008.02.21 Possibly a new variant of W32/Swizzor-based!Maximus
Avast 4.7.1098.0 2008.02.20 -
AVG 7.5.0.516 2008.02.21 -
BitDefender 7.2 2008.02.21 -
CAT-QuickHeal 9.50 2008.02.20 -
ClamAV 0.92.1 2008.02.21 -
DrWeb 4.44.0.09170 2008.02.21 -
eSafe 7.0.15.0 2008.02.21 -
eTrust-Vet 31.3.5552 2008.02.21 -
Ewido 4.0 2008.02.21 -
FileAdvisor 1 2008.02.21 -
Fortinet 3.14.0.0 2008.02.21 -
F-Prot 4.4.2.54 2008.02.20 W32/Swizzor-based!Maximus
F-Secure 6.70.13260.0 2008.02.21 -
Ikarus T3.1.1.20 2008.02.21 Trojan-Downloader.Swizzor
Kaspersky 7.0.0.125 2008.02.21 -
McAfee 5234 2008.02.20 -
Microsoft 1.3204 2008.02.20 -
NOD32v2 2893 2008.02.21 -
Norman 5.80.02 2008.02.21 -
Panda 9.0.0.4 2008.02.21 -
Prevx1 V2 2008.02.21 -
Rising 20.32.32.00 2008.02.21 -
Sophos 4.26.0 2008.02.21 Mal/Swizzor-C
Sunbelt 3.0.884.0 2008.02.21 -
Symantec 10 2008.02.21 -
TheHacker 6.2.9.225 2008.02.21 -
VBA32 3.12.6.1 2008.02.21 -
VirusBuster 4.3.26:9 2008.02.21 Trojan.DL.Swizzor.Gen!Pac.2
Webwasher-Gateway 6.6.2 2008.02.21 Trojan.Dldr.Swizzor.Gen

Tobasco 21.02.2008 18:44
Wegen der Datei, die du nicht findest (owns love mags.exe):
Hast du auch unsichtbare Dateien etc mit durchsucht?

Ansonsten mach das doch am besten mal.
Anleitung

morrybyte 22.02.2008 12:54
Habe die Anweisungen gefolgt, aber die Datei ist einfach nicht da. Vielleicht haben ja die Datein in meinem Edit vom vorrigen Post was damit zu tun?

Chris4You 22.02.2008 13:40
Hi,

Swizzor, gehe nach folgender Anleitung vor:
http://www.trojaner-board.de/28388-a...ntfernung.html

Zum Suchen:
Swizzor :: Swizzor Removal Instructions

chris


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:31 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131