Und noch einer: TR/MSIL.Dedem.I - Brauche Rat!
 

Hallo!

Ich hatte gestern zwei Meldungen über oben genannten Trojaner! Hab beide entfernt und nach erneutem Scan sagt AntiVir nichts mehr.

und

CryptLoad ist mir bekannt. Ist ein Programm um bei ShareHostern mehre Files laden zu können ohne selber eingreifen zu müssen. Hatte es schon ewig drauf, jetzt erst kam aber eine Meldung. Könnte mir eine mögliche Falschmeldung vorstellen, da das Programm auch dafür da ist, das Internet zu resetten um Wartezeiten zu verkürzen.

Hier nun mein HJT Scan. Wäre nett wenn sich das Teil mal jemand anschaut. Danke!

---

Logfile of HijackThis v1.99.1
Scan saved at 17:55:41, on 25.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Belkin\Bluetooth Software\BTTray.exe
C:\Programme\Last.fm\LastFMHelper.exe
C:\Programme\Last.fm\LastFM.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\HiJackThis\This.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [VolPanel] "C:\Programme\Creative\Sound Blaster X-Fi\Volume Panel\VolPanel.exe" /r
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Last.fm Helper.lnk = C:\Programme\Last.fm\LastFMHelper.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\Belkin\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\Belkin\Bluetooth Software\bin\btwdins.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\Magix\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hallo und Herzlich Willkommen ;)
Nun wollen Wir uns um dein Problem kümmern.
In deinen HiJackThis-Log sehe ich nichts schädliches. Zur Sicherheit mache bitte einen Online-Virenscan z.B bei Kapersky oder TrendMicro und poste die Ergebnisse. Hast Du die Anwendung HiJackThis schon umgenannt ? Nenne die Anwendung HiJackThis in ABC.com um und mache nochmal ein frisches HiJackThis-Logfile. Sollte AntiVir meckern , einfach ignorieren.

Danke für die Begrüßung und die schnelle Antwort :)

Umbenannt ist die .exe, darüber hatte ich schon gelesen ;)

Habe nun einen Kaspersky Online Scan gemacht, auch dieser hat nichts gefunden.

Ich habe den PC seit dem Befall nicht mehr neugestartet. Sollte ich das tun, dann vielleicht nochmal scannen oder zumindest nochmal ein HJT posten?

Edit: Mein Firefox baut übrigens seit ca. 1-2 Tagen teilweise Seiten nicht mehr richtig auf, bzw. lädt manche Bilder nicht mehr. So das ich die immer nachladen muss. Keine Ahnung obs damit zusammenhängt, ich habe vorgestern meinen Router neu aufgesetzt, daher kann das jetzt auch einfach nur Zufall sein und es ist ne Fehleinstellung.

Hallo! Starte den PC neu. Führe HiJackThis noch einmal neu aus und mache noch einen Onlinescan. Poste bitte das Ergebniss vom Onlinescan und ein frisches HiJackThis-Logfile.
Zur Sicherheit führe bitte Spybot Search & Destroy durch.
Die Seite von Spybot-S&D!
Poste die Ergebnisse von Spybot-S&D.

Soo, dann wollen wir mal.

Folgendes alles nach dem Reboot.

Kaspersky Online Scan:

Dabei stutzig gemacht hat mich "C:\WINDOWS\Debug\PASSWD.LOG", oder ist das was normales?

Spybot Search & Destroy:

Und hier noch ein brandaktueller HTJ Scan:

Hm , die geschlossenen Dateien gefallen mir auch nicht. Die Cookies sind weiter nicht schlimm , die fängt sich jeder mal ein. Einfach auf "Probleme beheben" klicken und gut ist.
Das HJT-Logfile scheint sauber zu sein. Ich würd sagen das alles in Ordnung ist.
Probier mal folgendes: Versuche alle gesperrten Dateien mal auf VirusTotal - Free Online Virus and Malware Scan hochzuladen.

Ich hab mal ein wenig gegoogled. Das die gelisteten Files nicht gelesen werden können ist normal, da es System Dateien und/oder Dateien sind die gerade in Verwendung sind. Ich sitze gerade an meinem PC auf der Arbeit und habe mal verglichen: Bis auf wenige (Systembedingte) Ausnahmen sind alle Files aus meinem Log auch hier auf dem Rechner, an den selben Orten. Zusätzlich habe ich nach den Prozessen/Ordnern/Files gegoogled und eigtl. dürfte nichts davon von einem Schädling stammen.
Ich werde heute Abend noch mal alle durch VirusTotal jagen. Die PASSWD.log konnte ich da übrigens nicht hochladen, da sie zu klein ist.

Kann ich ansonsten davon ausgehen das mein System sauber ist?

Ich habe eben mal in die Firefox Fehler-Konsole geschaut, da tauchen ein paar Sachen auf, bin denen ich nichts anfangen kann. Hab mal nen Screenshot gemacht:

http://www.abload.de/img/fffehler1wv.jpg

Danke!

Virustotal ist zwar nen tolles Angebot und häufig auch echt hilfreich, aber wenn man anfängt jeden Scheiß dort hochzuladen wird sich der Service nicht lange halten können. :(
Bitte nur bei konkretem Verdacht und Anhaltspunkten dort Dateien hochladen. (und nie mehr als 3-4 am Stück)

Ein solcher Anhaltspunkt wäre zum Beispiel ein vermuteter Fehlalarm, daher vllt mal die Datei:
dort hochladen.

Was die Fehlerkonsole betrifft: Wie gut sind deine HTML- und Spanischkenntnisse? :D Das sind Fehlermeldungen, Webseiten die nicht einwandfrei geschrieben sind, Befehle die Firefox nicht interpretieren kann.
Wenn du Lust und Laune hast, kannst du die Leute ja mal anschreiben und fragen ob du es ihnen neuschreiben sollst. ;)


Aktualisier bitte noch dein Java, aktuell ist 6.5 nicht 6.2 (alte Version bitte erst deinstallieren).
Was hast du denn über MSConfig deaktiviert? Dir bekannte Einträge? Oder hast du versucht unbekanntes aus dem Autostart zu nehmen?

lg myritlle

hi myrtille,
so wie ich verstanden habe, ist die fragliche datei bereits gelöscht.
ich hatte in einem ähnlichen fall um eine vt-prüfung gebeten, da gabs aber
bis jetzt keine antwort. ich gehe auch davon aus, daß es ein fehlalarm ist,
die aktuelle 123share.org.dll von dieser download-quelle
CryptLoad - Download - CHIP Online
wird von keinem av-scanner bei virustotal als schädlich eingestuft.
aber vielleicht kommt die aufklärung ja durch den anderen thread.

Ich habe jetzt 3-4 Files geprüft, alles negativ.

Richtig, die befallene .dll habe ich nicht mehr, da ich im Affekt auf löschen geklickt habe.

@Fehlerkonsole: Ok, hatte ich mir gedacht, aber man weiß ja nie. Danke ;)

Java aktualisier ich gleich.

Ich habe in msconfig ein paar Sachen aus dem Autostart geholt die unwichtig sind, Nero Check und so nen blödsinn. Habe vorher gegoogled was die betreffenden Prozesse tun. Habe da also nichts rausgeholt was ich nicht kenne.

Edit: So, Java ist auch aktuell.