Plötzlich Virus und Malware auf dem Rechner? Warum und wie bekomme ich das wieder weg
 

So, war heute im Internet und nach 2 Minuten surfen auf www.google.de beendet sich der Internet Explorer und sagt es liegt ein Fehler vor. Auch der Explorer geht nicht mehr.
AntiVir meldet mir den „Virus“ TR/Proxy.Lager.AQ.1 und Spybot findet SmitFraud.C. Beides kann ich beseitigen bzw. löschen aber nach einem Systemstart ist zumindest der Virus wieder da.

Kann mir jemand sagen, wie ich jetzt am besten vorgehen soll? Blicke bei den Vielzahl an Test und Logfiles von denen hier gesprochen wird, nicht mehr richtig durch.

Eine wichtige Frage ist noch, wie man diesen Virus bekommen kann? Habe noch einen 2. Rechner im Netzwerk und der hat noch nichts bekommen. Wie kann ich diesen anderen PC schützen???

Vielen Dank für eure Hilfe,

Sascha

Hallo Skelo,
poste doch mal ein HJT logfile vllt ist noch mehr drin

chaosman

So, ich hoffe Ihr könnte mir jetzt besser helfen:

Logfile of HijackThis v1.99.1
Scan saved at 18:42:07, on 22.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Toshiba\Windows Utilities\Hotkey.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\taskdir.exe
C:\WINDOWS\system32\igfxext.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Downloads\HiJackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Toshiba Hotkey Utility] "C:\Programme\Toshiba\Windows Utilities\Hotkey.exe" /lang DE
O4 - HKLM\..\Run: [EPSON Stylus C86 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0R2.EXE /P23 "EPSON Stylus C86 Series" /O6 "USB001" /M "Stylus C86"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\system32\taskdir.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: eBay - {9E958ACA-8CB9-414B-B5C6-2F044D71F7B2} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120313126702
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123583493483
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - h**ps://register3.valueactive.com/458/webolr/OCX/FlashAX.cab
O16 - DPF: {E55FD215-A32E-43FE-A777-A7E8F165F551} (Flatcast Viewer 4.15) - h**p://data.flatcast.com/NpFv415.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Hallo,
aus dem Logfile ist ausser den taskdir Einträgen nichts auffälliges zu erkennen.
Mach mal folgendes dann kann man vielleicht erkennen ob noch was weiteres nachgeladen wurde. Poste die vier Logfiles, aber nur die Dateien des letzten Monats abkopieren!


Grüße Wildone

Hoffe man kann was daraus erkennen. Glaube dass gleich die 2. Datei (zlbw.dll) nicht gut ist oder?


Verzeichnis von C:\WINDOWS\system32

22.03.2006 18:26 1.158 wpa.dbl
22.03.2006 17:04 46.592 zlbw.dll
22.03.2006 15:39 51.094 taskdir.exe
22.03.2006 15:39 51.094 parad.raw.exe
22.03.2006 15:39 7.095 voblaizdupla.exe
10.03.2006 01:10 4.799.320 MRT.exe
14.02.2006 09:20 550.120 LegitCheckControl.dll
13.02.2006 19:03 8.632 spmsg.dll
12.02.2006 17:26 0 h323log.txt


Verzeichnis von C:\DOKUME~1\***\LOKALE~1\Temp

22.03.2006 18:42 16.384 ~DF40E6.tmp
22.03.2006 15:57 0 12F331.dmp
22.03.2006 15:57 0 1277A8.dmp
22.03.2006 15:56 0 11F2A7.dmp
22.03.2006 15:47 0 9B75D.dmp
22.03.2006 15:45 0 7AC77.dmp
17.03.2006 20:51 271 wecerr.txt
16.03.2006 21:21 1.980 1C9.tmp
12.03.2006 13:18 1.980 1C5.tmp
11.03.2006 14:59 1.980 1C4.tmp
10.03.2006 23:16 1.980 1EE.tmp
10.03.2006 21:56 1.980 1DF.tmp
10.03.2006 21:54 1.980 1DA.tmp
10.03.2006 21:42 1.980 1D5.tmp
10.03.2006 21:25 1.980 1CD.tmp
10.03.2006 21:23 1.980 1C8.tmp
10.03.2006 21:21 1.980 1C3.tmp
09.03.2006 20:26 1.980 1C0.tmp
09.03.2006 15:15 1.980 1BF.tmp
08.03.2006 21:49 1.980 1BD.tmp
08.03.2006 17:10 1.980 1BB.tmp
07.03.2006 20:40 1.980 1B9.tmp
07.03.2006 18:42 1.980 1B8.tmp
07.03.2006 18:42 1.980 1B6.tmp
06.03.2006 17:51 797.676 IMTE.xml
06.03.2006 17:51 426 IMTD.xml
06.03.2006 17:51 2.036 IMTC.xml
06.03.2006 17:51 797.676 IMTB.xml
06.03.2006 17:51 426 IMTA.xml
06.03.2006 17:51 2.036 IMT9.xml
06.03.2006 02:57 129 C05A8628.TMP
03.03.2006 15:00 3.162.112 ~DF7D9F.tmp
03.03.2006 13:56 1.980 1B5.tmp
02.03.2006 15:58 3.244.032 ~DF6ECA.tmp
02.03.2006 14:30 1.980 1B1.tmp
28.02.2006 16:22 884.736 ~DFE84F.tmp
28.02.2006 16:22 1.980 1B2.tmp
28.02.2006 15:58 10.538 control.xml
28.02.2006 15:43 3.194.880 ~DFBF7D.tmp
28.02.2006 14:48 1.980 1AD.tmp
27.02.2006 15:37 2.834.432 ~DFEA58.tmp
27.02.2006 15:36 1.980 1AE.tmp
27.02.2006 15:31 2.818.048 ~DF6A7D.tmp
27.02.2006 15:28 1.980 1AA.tmp
26.02.2006 16:47 412 MSI12487.LOG
24.02.2006 10:36 2.867.200 ~DFF3A6.tmp
24.02.2006 10:14 1.980 1A6.tmp
23.02.2006 16:29 2.932.736 ~DFB9FA.tmp
23.02.2006 16:26 1.980 1A9.tmp
23.02.2006 16:22 884.736 ~DF348B.tmp
23.02.2006 16:22 1.980 1A5.tmp
21.02.2006 22:50 2.834.432 ~DF638B.tmp
21.02.2006 22:49 1.980 1A2.tmp
20.02.2006 23:02 2.949.120 ~DFE109.tmp
20.02.2006 21:23 1.980 1A1.tmp
19.02.2006 16:56 2.850.816 ~DF53B2.tmp
19.02.2006 16:54 1.980 19E.tmp
18.02.2006 09:19 2.932.736 ~DFD271.tmp
18.02.2006 08:14 1.980 19A.tmp
17.02.2006 21:57 3.194.880 ~DFEFA1.tmp
17.02.2006 20:14 1.980 19D.tmp
17.02.2006 18:44 2.899.968 ~DF5FBA.tmp
17.02.2006 18:38 1.980 199.tmp
17.02.2006 14:15 2.834.432 ~DFD43E.tmp
17.02.2006 14:12 1.980 196.tmp
16.02.2006 23:53 3.375.104 ~DFE371.tmp
16.02.2006 22:31 1.980 195.tmp
16.02.2006 22:30 1.980 194.tmp
16.02.2006 15:14 1.980 192.tmp
14.02.2006 21:05 1.980 191.tmp
13.02.2006 18:14 1.980 18E.tmp
12.02.2006 16:07 1.980 18D.tmp
11.02.2006 22:05 1.980 18A.tmp
10.02.2006 20:31 1.980 189.tmp
10.02.2006 13:29 1.980 186.tmp
09.02.2006 15:06 1.980 185.tmp
09.02.2006 15:02 1.980 184.tmp
09.02.2006 15:00 1.980 183.tmp
09.02.2006 14:42 1.980 17E.tmp
08.02.2006 22:30 1.980 180.tmp
08.02.2006 19:45 1.980 17D.tmp
07.02.2006 22:13 1.980 17A.tmp
07.02.2006 15:16 1.980 179.tmp
06.02.2006 17:50 1.980 176.tmp
05.02.2006 16:33 1.980 175.tmp
04.02.2006 21:39 1.980 172.tmp
03.02.2006 12:18 1.980 171.tmp
02.02.2006 21:35 1.980 16E.tmp
02.02.2006 17:30 1.980 16D.tmp
02.02.2006 15:50 1.980 16A.tmp
01.02.2006 22:45 1.980 169.tmp
01.02.2006 20:40 1.980 166.tmp


Verzeichnis von C:\WINDOWS

22.03.2006 18:33 1.823.772 WindowsUpdate.log
22.03.2006 16:46 0 0.log
22.03.2006 16:45 2.048 bootstat.dat
21.03.2006 16:45 580 WISO.INI
17.03.2006 14:13 542.597 setupapi.log
13.03.2006 20:36 213.092 setupact.log
08.03.2006 21:48 253 tm.ini
08.03.2006 21:43 35 tdf.dii
07.03.2006 17:45 7.553 WGA.log
28.02.2006 15:58 18.365 wmsetup.log
18.02.2006 11:00 923 spupdsvc.log
18.02.2006 10:56 131.110 tsoc.log
18.02.2006 10:56 18.327 ocmsn.log
18.02.2006 10:56 120.309 comsetup.log
18.02.2006 10:56 52.926 iis6.log
18.02.2006 10:56 71.226 ntdtcsetup.log
18.02.2006 10:56 1.374 imsins.log
18.02.2006 10:56 6.836 KB913446.log
18.02.2006 10:56 16.354 msgsocm.log
18.02.2006 10:56 163.401 ocgen.log
18.02.2006 10:56 326.909 FaxSetup.log
18.02.2006 10:55 1.374 imsins.BAK
18.02.2006 10:55 8.009 KB911564.log
18.02.2006 10:55 8.283 KB911565.log
18.02.2006 10:54 11.006 KB911927.log
18.02.2006 10:54 26.644 updspapi.log


Verzeichnis von C:\

22.03.2006 20:03 0 sys.txt
22.03.2006 20:02 8.168 system.txt
22.03.2006 20:00 22.867 systemtemp.txt
22.03.2006 19:54 93.920 system32.txt
22.03.2006 18:31 4.757 hijackthis.log
22.03.2006 16:45 780.140.544 pagefile.sys

Hallo,
überprüfe die Dateien:
C:\Windows\System32\zlbw.dll
C:\Windows\System32\parad.raw.exe
C:\Windows\System32\voblaizdupla.exe

auch bei www.virustotal.com und poste das Ergebnis. Du hast dich um 15:39 angesteckt, eine Ahnung was du da gemacht hast?


Grüße Wildone

Das war der Moment als ich den Laptop (nach der Arbeit) angeschaltet habe und per Internet Explorer auf Google was nachschauen wollte. Habe dann in die Google Suchleiste meine Suchbegriffe eingegeben und während der Eingabe ging der IE nicht mehr und da wars schon passiert.

Überprüfe jetzt die benannten Dateien.

Hallo,
also bei dem Infektionsweg stehe ich vor einem Rätsel.
Wenn wir schon bei genauerer Durchleuchtung sind, überprüfe dein system auch mal noch zusätzlich mit den Tools F-Secure Blacklight (Log erscheint automatisch nach dem scan im selben Pfad fsbl**.txt) und Rootkitrevealer (während dem Scan nichts anderes machen!, Log unter File>>Save).



Grüße Wildone

Poste nur das "Schlechte":

zlbw.dll
Fortinet 2.71.0.0 03.22.2006 suspicious

parad.raw.exe
Kaspersky 4.0.2.24 03.22.2006 Trojan-Proxy.Win32.Lager.aq
Panda 9.0.0.4 03.21.2006 Suspicious file

voblaizdupla.exe
DrWeb 4.33 03.22.2006 Trojan.DownLoader.6811
Kaspersky 4.0.2.24 03.22.2006 Trojan-Downloader.Win32.Small.ciw
Panda 9.0.0.4 03.21.2006 Suspicious file
UNA 1.83 03.22.2006 TrojanDownloader.Win32.Small
VBA32 3.10.5 03.22.2006 Trojan.DownLoader.6811


Hört sich überhaupt nicht gut an :-(
Es beunruhigt mich sehr, das mein AntiVir keine Datei von diesen 3 als Virus erkennt. So kann ich mich nicht dagegen schützen. Kaspersky ist der einzige Scanner, der beide zu erkennen scheint.

Wie soll ich jetzt weiter vorgehen?

Hallo,
ist auch überhaupt nicht gut, ich habe ja schon in dem anderen thread gepostet das du wahrscheinlich nicht an einem Neuaufsetzen vorbei kommen wirst. Und das so neue Viren nicht alle AVs erkennen ist ja klar. Ansonsten noch mit den Rootkitscannern weiter machen.


Grüße Wildone

Mache jetzt noch die beiden anderen Tests.

Was mir noch große Sorgen macht, ist mein 2. PC der ja scheinbar noch "sauber" ist. Bin mir aber nicht 100% sicher ob da Windows wirklich total aktuell ist (könnte eventuell schon 6-7 Tage alt sein) und ich kann ja momentan keine Updates online machen.
Möchte irgendwie verhindern, dass der auch noch verseucht wird, wobei ich ja nicht weis warum es meinen Laptop erwischt hat.

BlackLight Beta: keine Funde

03/22/06 21:20:47 [Info]: BlackLight Engine 1.0.33 initialized
03/22/06 21:20:47 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/22/06 21:20:47 [Note]: 7019 4
03/22/06 21:20:47 [Note]: 7005 0
03/22/06 21:20:55 [Note]: 7006 0
03/22/06 21:20:55 [Note]: 7011 488
03/22/06 21:20:55 [Note]: FSRAW library version 1.7.1015
03/22/06 21:21:54 [Note]: 7007 0

ich könnt mich totlachen...genau in diesem augenblick, sprich als ich googlen wollte hat sich der IE aufgehängt und die kacke war am dampfen...das is doch hexerei

mach gerade auch die gerade erwähnten tests:

datFind.bat:

Verzeichnis von C:\WINDOWS\system32

22.03.2006 18:32 2.206 wpa.dbl
22.03.2006 14:04 46.592 zlbw.dll
22.03.2006 14:01 51.094 parad.raw.exe
22.03.2006 14:01 51.094 taskdir.exe
22.03.2006 14:01 4 winsub.xml
22.03.2006 14:01 61 svcp.csv
22.03.2006 14:01 7.095 voblaizdupla.exe
18.03.2006 19:00 277.768 FNTCACHE.DAT
10.03.2006 01:10 4.799.320 MRT.exe
14.02.2006 09:20 550.120 LegitCheckControl.dll
13.02.2006 19:03 8.632 spmsg.dll
01.02.2006 19:23 333 ImgCache.pvi
18.01.2006 13:05 57.344 avsda.dll
04.01.2006 04:35 68.096 webclnt.dll
03.01.2006 17:19 12.499 Seagate.bin


weiteres folgt...

Hallo,
bei dir sind es die um 14.01 erstellten Dateien:
22.03.2006 14:04 46.592 zlbw.dll
22.03.2006 14:01 51.094 parad.raw.exe
22.03.2006 14:01 51.094 taskdir.exe
22.03.2006 14:01 4 winsub.xml
22.03.2006 14:01 61 svcp.csv
22.03.2006 14:01 7.095 voblaizdupla.exe

Es hat auch niemand von euch ein vermeintliches Antispywareprogramm installiert, oder? Videocodec auch nicht? Nur von google kann es eigentlich nicht kommen. Könnt ihr mal schauen ob in der Datei C:\WINDOWS\system32\drivers\etc\Hosts (mit dem Editor öffnen) irgendetwas von google drin steht)?



Grüße Wildone

Du kannst ja mal Ewido mal über dein System laufen lassen.

Eine Onlinescan findest du hier: www.ewido.net , Links findest du den scan Button. Oder du kannst die Free Version von EWIDO auch nutzen.

Oder las mal a² über dein System laufen: http://www.emsisoft.de/de/software/free/ ist die Free version.

Oder auch ne Trial Version von TrojanHunter über dein System laufen lassen, das bekommst du hier: http://www.trojanhunter.com/ eine 30 Tage Version von Trojanhunter.

Lade dier die aufgeführten Progarmme mal auf dein System, Installiere Sie, setzt dich damit ausseinander, WICHTIG: alle Programme nach dem Instalieren UPDATEN!

und packe alle Scanreports hier in diesen Tread.

THN

RootKit
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KZKPE3ON\ab[2].htm 22.03.2006 21:36 7 bytes Hidden from Windows API.

BlackLight --> keine Funde
03/22/06 21:20:47 [Info]: BlackLight Engine 1.0.33 initialized
03/22/06 21:20:47 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/22/06 21:20:47 [Note]: 7019 4
03/22/06 21:20:47 [Note]: 7005 0
03/22/06 21:20:55 [Note]: 7006 0
03/22/06 21:20:55 [Note]: 7011 488
03/22/06 21:20:55 [Note]: FSRAW library version 1.7.1015
03/22/06 21:21:54 [Note]: 7007 0

Hallo,
also ein Rootkit scheint ihr nicht zu haben. Wenigestens etwas positives, wenn auch auf niedrigem Niveau.



Grüße Wildone

- kein neues Antispyware (nur seit langem schon SpyBot)
- keinen Videocodec

In der angesprochenen Datei steht nach dem Einleitungstext 3 mal der selbe Eintrag (eine IP-Adresse und dahinter localhost).

Hallo,
dann habe ich keine Ahnung woher ihr das haben könntet. Browserlücke wäre zwar immernoch mein Tipp, aber eigentlich passiert sowas nur auf unseriösen Seiten. Naja mal abwarten was die AV-Hersteller zu euren eingeschickten Dateien meinen.


Grüße Wildone

Wo, oder Wann wurden wählche MawareSAMPLES verschickt, ich kan das im momment nicht richti herauslesen aus euren postings....?!

THN

Hallo,
in diesem Thread z.B. #18 außerdem wohl noch die TE.


Grüße Wildone

HKLM\SOFTWARE\Classes\Installer\Products\B3D5AC652003B7E409EF70D1F8FD8341\ProductName 04.10.2005 16:56 26 bytes Data mismatch between Windows API and raw hive data.

HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 22.03.2006 21:33 80 bytes Data mismatch between Windows API and raw hive data.

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{56CA5D3B-3002-4E7B-90FE-071D8FDF3814}\DisplayName 04.10.2005 16:56 26 bytes Data mismatch between Windows API and raw hive data.

HKLM\SYSTEM\ControlSet001\Services\d346prt\Cfg\0Jf40 22.03.2006 20:15 0 bytes Hidden from Windows API.

HKLM\SYSTEM\ControlSet001\Services\d346prt\Cfg\0Jf41 14.11.2005 23:28 0 bytes Hidden from Windows API.

C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\F4T5NO8G\ab[1].htm 22.03.2006 21:45 7 bytes Hidden from Windows API.

C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WAAOV34Q\ab[1].htm 22.03.2006 16:38 7 bytes Visible in Windows API, but not in MFT or directory index.

Welches Av Programm hat das dir das angezeigt ?

THN

ich auch nich....

bei mir steht das:
# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost
127.0.0.1 localhost

RootRevealer^^

Hallo,
auch dieses Rootkitrevealer Log sieht harmlos aus. Genau wie die Hosts Datei. "Kinners" ich weiß einfach nicht wie ihr euch das eingefangen habt.



Grüße Wildone

Habe den Ewido Online Scan gemacht: --> Keine Funde!

Scanne jetzt gerade mit a2 und während dem Scannen hat mir der Guard gesagt, dass das Programm taskdir.exe versucht versteckt Dateien aus dem Internet zu laden. Trotzdem wird am Ende gesagt, es wurde nichts gefunden.

Was mache ich jetzt mit der taskdir.exe? Löschen kann ich sie nicht, die ist nach jedem Neustart wieder da.

Hoffe dass morgen im Laufe des Tages mehr Informationen über die Dateien bekannt werden.

Ok Ich habe verstanden.

THN

Wäre ich jetzt der Einzige gewesen, der diesen Dreck so seltsam bekommen hat, würde ich schon an mir selber zweifeln. Da aber mindestens ein 2. genau auf die selbe Weise infiziert worden ist, muss es ja irgendwie gegangen sein.

Naja, ich danke mal allen für die Hilfe und gehe jetzt ins Bett. Hoffentlich gibt es morgen mehr Informationen.

Hallo,
lösche mal mit killbox die Dateien:
22.03.2006 17:04 46.592 zlbw.dll
22.03.2006 15:39 51.094 taskdir.exe
22.03.2006 15:39 51.094 parad.raw.exe
22.03.2006 15:39 7.095 voblaizdupla.exe

on reboot.
Aber ich betone das wenn Zugriff dritter auf das system erfolgt ist die einzig sichere Variante ein Neuaufsetzen ist.


Grüße Wildone

@ Skelo

Du kanst auch diese Onlinscans duchrarbeiten...

Linkk dazu: http://www.johannrain-softwareentwicklung.de/online_virensuche.htm

THN

@ Wildone

Wollte gerade das mit der Killbox machen aber ich kann zwar eine Datei eingeben (bzw. auswählen) und dann auf das rote X klicken. Dann kommt die Frage ob ich gleich Rebooten möchten und ich sage NEIN. Dann ist aber der Dateieintrag im Programm weg.
Wie kann ich da jetzt mehrere Dateien auf einmal on reboot löschen?

Hallo,
du gibst sie einfach nacheinander ein und bestätigst bei der letzten das Rebooten mit "Ja".


Grüße Wildone

jezz gehts los

der jotti scan, aller durch datFind.bat gefundenen dateien von heute 14:01h

Datei: voblaizdupla.exe
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.DownLoader.6811 gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan-Downloader.Win32.Small.ciw gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Trojan.DownLoader.6811 gefunden

Datei: taskdir.exe
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.Spambot gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan-Proxy.Win32.Lager.aq gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden


Datei: parad.raw.exe
Auslastung: 0% 100%

Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme: -

AntiVir Keine Viren gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web Trojan.Spambot gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Trojan-Proxy.Win32.Lager.aq gefunden
NOD32 Keine Viren gefunden
Norman Virus Control Keine Viren gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Keine Viren gefunden


die sache mit der killbox hab ich auch schon probiert, allerdings nur für die datei taskdir.dll, weil es ja die war, die antivir als betroffen angezeigt hat. bin auf eure ergebnisse gspannt

So, habe mir der Killbox die 4 Dateien gelöscht und sie scheinen auch nicht da zu sein (auch nach 2 Neustarts).

Dieses datFind.bat zeigt sie auch nicht mehr an, nur bei dem HiJackThis ist noch eine Zeile in der die Datei taskdir.exe noch auftaucht.

Naja, gehe jetzt wirklich ins Bett, bis morgen dann.

Achja, wie kann ich jetzt prüfen ob wirklich alles entfernt ist?

Vielen Dank!

Hallo,
Gar nicht, sonst würde ich ja nicht die ganze Zeit von Neuaufsetzen schwafeln.


Grüße Wildone

KillBox gab mir beim versuch des löschens folgendes zurück:

PendingFileRenameOperations Registry Data has been Removed by External Process!

gute nacht

Hallo zusammen,
befinde mich seit gestern auch im erlauchten Kreis derer, die sich mit dem parad.rax.exe irgendwo im Web infiziert haben.
Habe zwar beim oberflächlichen Prüfen gelesen, daß der Trojaner scheinbar schon seit 04.04.06 auf meinem Rechner schlummert, aber seit eben gestern geht gar nix mehr.
D. h. ich bekomme gar keinen Online-Zugang mehr. Was natürlich doppelt und dreifach schlecht ist, da ich keine Antivirus-Software noch sonst was zur evtl. Säuberung meines Rechners aktivieren kann.
Lange Rede - kurzer Sinn:
wenn ich die Diskussion hier so verfolge, läuft alles
darauf hinaus, daß man seine Kiste komplett platt machen und neu einrichten muß. Richtig, oder gibt es doch noch irgendwo ein Hintertürchen, um diese Lösung zu umgehen?
Dazu muß man wissen, daß ich nicht der Superheld bin, was Neueinrichtung und Setup eines PC generell betrifft....