Oxy.exe Virus auf WinXP entdeckt, ständige POP-UPs und längere ladezeit OXX.exe
 

Guten Tag,
immer wenn AviraAntivir einen Virus findet suche ich bei Google nach dem Virus.
Dabei treffe ich immer auf diese Board und sehe das jedem geholfen wird. *Thumbs UP*
So jetzt brauche ich Hilfe:

Gestern habe ich gemerkt dass 4 neue Prozesse in der Tasklist zu finden sind:
Oxy.exe
Oxx.exe
Ozyjoa.exe
ati2evxx.dll

Ich habe schon google benutzt und nur englische Sachen gefunden, aus denen ich nicht schlau wurde.

Im moment öffnen sich immer wieder Werbungsfenster mit dem WindowsInternet-Explorer (ich nutze selber Firefox)
des weiteren brauch Windows länger zum Laden als sonst :S

Ich habe schon in erfahrung gebracht, dass dies eine Malware ist.

Jetzt brauche ich EURE Hilfe um dieses Zeug loszuwerden.
Ich weis das ich Logs u.s.w. posten muss, könntet ihr mir dies noch genau erklären, ich bin sozusagen ein Noob

MfG-Grevius

Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
beide posten bitte

OTL.TXT:
weiter im nächsten post

Extras.TXT
PS es war zu viel um alles zu zensieren :S

kann es sein dass dadurch auch wenn ich bei google suche und etwas anklicke, dass dann irgend eine andere seite aufgerufen wird, meisst werbung?

1. deinstaliere spybot es stört die reinigung, neustarten.

2.
bitte in meinem script *** durch benutzernamen ersetzen, sonst klappts nicht :-)

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
SRV - (AppMgmt) -- C:\WINDOWS\System32\appmgmts.dll File not found
SRV - (SSHNAS) -- C:\WINDOWS\system32\sshnas21.dll (Avira GmbH)
O4 - HKU\S-1-5-21-823518204-1563985344-725345543-1004..\Run: [D9L83679SM] C:\WINDOWS\Ozyjoa.exe (Avira GmbH)
O4 - HKU\S-1-5-21-823518204-1563985344-725345543-1004..\Run: [JP595IR86O] C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Oxx.exe (Avira GmbH)
[2011.01.10 17:01:36 | 000,042,496 | ---- | C] (Frank Petersen Software) -- C:\WINDOWS\System32\wait.exe
[2011.01.09 13:04:22 | 000,216,576 | ---- | C] (Avira GmbH) -- C:\WINDOWS\Ozyjoa.exe
[2011.01.09 13:04:04 | 000,315,392 | ---- | C] (Avira GmbH) -- C:\WINDOWS\System32\sshnas21.dll
[2011.01.10 18:08:12 | 000,000,250 | -H-- | M] () -- C:\WINDOWS\tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job
[2011.01.10 18:07:19 | 000,000,290 | -H-- | M] () -- C:\WINDOWS\tasks\{BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job
[2011.01.10 17:15:06 | 000,000,290 | -H-- | M] () -- C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
:Files
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.

öffne den arbeitsplatz, c: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
lade das archiv in unserem upload channel hoch.
http://www.trojaner-board.de/54791-a...ner-board.html

fuck ich habe gelesen "bitte in deinem script *** durch benutzernamen austauschen"
das ärgert mich jetzt wirklich :headbang: und tut mir leid :headbang:
wie ich sehe sind trotzdem ein paar fehler :S

EDIT:ich glaube nicht dass die wait.exe damit was zutuen hatte, ich hab sie aus sicheren quellen xD

hi, sorry du hast recht. kannst du dir die datei neu laden oder müssen wir sie wieder herstellen?
download malwarebytes:
Malwarebytes
instalieren, öffnen, registerkarte aktualisierung, programm updaten.
schalte alle laufenden programme ab, trenne die internetverbindung.
registerkarte scanner, komplett scan, funde entfernen, log posten.

soll ich auch die programme im tray ausschalten?
mit der wait.exe ist kein problem ;D
ich aktualisiere gerade malwarebytes
EDIT: registerkarte? du meinst datenbank oder?

sorry für doppelpost aber: ich finde kein registerkarte scannen :S

EDIT: ach jetzt weis ich was du meinst sry xD

ja aktieve programme abschalten.
ja registerkarte ist das was im oberen teil zu finden ist :-)

hier die logfile:

sieht gut aus.
lade den ccleaner slim:
Piriform - Builds
falls der ccleaner bereits instaliert, überspringen.
instalieren, öffnen, extras, liste der instalierten programme, als txt speichern. öffnen.
hinter, jedes von dir benötigte programm, schreibe notwendig.
hinter, jedes, von dir nicht benötigte, unnötig.
hinter, dir unbekannte, unbekannt.
liste posten.

welches programm soll ich jetzt behmen? CCleaner lite
und was ist dieser 2 link?
nicht das tutorial nehmen dass dort verlinkt ist?
txt kommt gleich
kann ich den portable nehmen und auf meine externen installieren?

den ccleaner slim.
das tutorial brauchen wir später noch.

deinstaliere alles wo du unnötig drann geschrieben hast
+ Security Task Manager
malwarebytes kann man behalten.
dann bereinige mit dem ccleaner daeien + registry.
avira
http://www.trojaner-board.de/54192-a...tellungen.html
avira 10 so instalieren bzw. dann konfigurieren. wenn du die konfiguration übernommen hast, update das programm.
klicke dann auf "lokaler schutz" "lokale laufwerke" eventuelle funde in quarantäne, log posten.
bitte auch unter verwaltung, planer, scan auftrag, darauf achten, das dieser über lokale laufwerke läuft! sonst werden die einstellungen nicht gültig.
den update auftrag auf 1x pro tag einstellen.
und "nachhohlen falls zeit überschritten" auswählen

und was ist mit den unbekannten programmen?
wie meinst du das mit datein bereinigen?
und bei registry alles so lassen? (also jede tickbox mit häckchen)
ich habe ja eine externe festplatte (L: ) soll ich diese immer manuell scannen lassen?
EDIT: sry ich sehe gerade lokale laufwerke scannt alles xD

ok ich habs avira ist immernoch beim suchlauf :s das dauert ewig, vorgestern hatte ich einen gestartet: nach 1h47min war er bei 47% angelangt^^:eek:
im moment (14:46Uhr) 4.0% bei 15:30min

außer Security Task Manager
alles drauf lassen.
wenn du im ccleaner auf analyse klickst und dann auf bereinigen dann sucht er nach unnötigen dateien, bei registry alle haken so lassen.

so hier ist der Av-Scan
Während des Suchlaufs hat der Guard 1 Trojaner entdeckt, und genau zum Ende des suchlaufs nochmal den gleichen Trojaner :S
hier während des suchlaufs:
am Ende:

rechtsklick auf den arbeitsplatz eigenschaften, systemwiederherstellung, wähle auf allen laufwerken deaktivieren, übernehmen/ok.
5 minuten warten, wieder einschalten.

dann würde ich mit dir den pc noch absichern.

http://www.trojaner-board.de/96344-a...-rechners.html

erstmal GROSSES DANKE:dankeschoen::dankeschoen::dankeschoen::dankeschoen::dankeschoen:
xD

ähhm für Backups nutze ich Acronis 10 Boot-CD und speichere die Backups auf einer Externen ;D
ich möchte kein Opera nehmen, da ich für Firefox selber Programme schreibe, die ich über Greasemonky laufen lasse, u.a. ist da auch ein Werbeblocker dabei^^
ich selber mache ja kein Online-Banking da ich ja erst 14 bin^^
Wenn meine Eltern das in zukunft machen, sollen sie das passwort über eine virtuelle Tastatur eingeben, um Keylogger zu verhindern :zunge:

dass mit dieser svc2kxp.cmd sache is mir ehrlich gesagt n bissel zu kompliziert:
hab ich richtig verstanden dass ich damit Windows dienste ausschalte, da diese Ports benötigen und es dadurch Lücken für vieren sind?

ich kann nicht /all machen da wir über ne Fritz!Box ins I-Net gehen, somit dürften eigentlich auch die Ports gesperrt sein oder?

und Noch mal EIN RIESEN DANKE

EDIT: welches updateprogramm soll ich nehmen Secunia oder Hippo?
EDIT2: ich will ausserdem auch kein sandboxin nehmen, da haben dann meine eltern keinen plan wie sie das anstellen sollen xD
EDIT der Dritte: das mit DEP wo finde ich die BOOT.INI? und für die Autoboots hab ich: Sysinternal Autoruns

virtuelle tastaturen sind nutzlos, lesegerät ist besser.
nimm bei dem dienste beenden methode 2.
es gibt doch überhaupt keinen unterschied ob man nen browser nimmt oder die sandbox. deine eltern müssen nur auf sandboxed web browser klicken, da gewöhnt man sich drann, und die trojaner bleiben draußen, da sie in der sandbox "gefangen" sind.
nimm beide update checker.

wieso beide da is die haöbe festplatte voll mit serviceprogrammen, was hat hippo was s... nicht hat?
ähhm geht die sandbox auch mit FF?

avira hat grad USB vaccine blockiert :S

was für ne meldung hat avira gezeigt.
voll mit service programmen? die haben vllt zusammen 10 mb...
die greifen beide auf unterschiedliche datenbanken zu, also erkennt der eine evtl. programme, die dem anderen fehlen.
ja, sandboxie einstellungen für den ff.
den direkten datei zugriff bitte auf firefox.exe und plugin-container.exe
beschrenken, hier kannst du auch noscript und andere plugins eintragen.
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\prefs.js
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\bookmarks.html
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\sessionstore.js
OpenFilePath=firefox.exe,%AppData%\Mozilla\Firefox\Profiles\*.default\adblockplus\patterns.ini
bei
Internetzugriff:
firefox.exe und
plugin-container.exe
eintragen
öffne dann sandboxie, dann oben im menü auf sandbox klickem, wähle deine sandbox aus und klicke dann auf sandboxeinstellung.
dort auf anwendung, webbrowser, firefox.
direkten zugriff auf lesezeichen erlauben auswählen und auf hinzufügen klicken, dann auf ok.

jqsnotify.exe kann irgendwie nicht drauf zugegriffen werden, da kommt dann immer ein error
ich habe auslogics disk defrag ist das in ordnung?
und acronis für bacups, ist das auch gut?

was soll ich bitte mit der angabe "irgendwie" anfangen können.wann genau passiert das?
die andern beiden sachen sind io und kannst du nehmen

also wenn ich in der sandbox firefox starte kommt halt dieser Error das es keinen internetzugriff hat:

SBIE1307 Kein Internetzugriff für das Programm 'jqsnotify.exe' aufgrund der Einschränkungen

na das ist doch mal ne verständliche aussage.
du hast ja für firefox freigaben gesetzt wie ichs beschrieben hab. das gleiche machst du für die jqsnotify.exe

wo finde ich die jqsnotify?

wir machens gleich ganz anders, diese komponennte wird nicht benötigt
Was ist Java Quick Starter (JQS)? Was sind die Vorteile von JQS?
mal deaktivieren und erneut probieren

ok danke klappt einwandfrei, ausser die sache mit den offenen ports, von windows tasks
da wird auf dieser deutschen testseite immernoch geschrieben, obwohl ich ja /standart angewendet habe

verstehe jetzt nicht was du meinst?
du kannst dort aus mehreren methoden auswählen. 1 2 oder 3.
3 kannst du nehmen, wenn du in keinem netzwerk bist. bzw kannst du das auch nehmen zum probiren, und über restore rückgängig machen bei problemen.
wenn du dieses programm verwendest werden offene windows dienste geschlossen.
1. werden die meistens sowieso nicht benötigt.
2. wegen der ports.
3. könntensie unter umständen zum sicherheitsrisiko werden, falls für einen der dienste mal ne lücke bekannt wird.
wenn der dienst nicht aktiev ist, ist der computer durch die lücke natürlich nicht mehr angreifbar.

ich habe 2 genommen wie du es gesagt hattest (einige posts vorher)
war alles erfolgreich.
dann hab ichh ier diesen test gemacht: hxxp://webscan.security-check.ch/
als ergebniss vom fullscan:

ja das steht sicher für jeden da, ist ne art "einleitung" um den leuten angst zu machen doer was weis ich...
kein grund zur besorgniss.

esrtmal xD

jetzt problem mit sandiebox:
wenn man aufm desktop auf die verknüpfung klickt kommt "Ungültiger Sandbox-Parameter: DefaultBox"

hängt das damit zusammen dass ich die sandbox nach "Firefox" umbenannt habe?

aber eig müsste das automatisch angepasst werden
lösche mal das symbol, gehe in start programme sandboxie und dann rechtsklick auf webbrowser in sandboxie starten, senden an, desktop.
da steht jetzt verknüpfung mit.
da mal einmal links drauf klicken, dann rechts klick, umbenennen und das verknüpfund mit löschen.
dann ist das symbol
1. auf deutsch
2. sollte es dann passen.

ich weiss zwar jetzt nicht genau was du meinst aber ich habs an desktop gesendet, trotzdem kommt der gleiche error

und wenn du sie wieder zurück benennst?
der name ist ja eig zweit rangig...

das klappt xD

jo, da gibts wohl manchmal probleme, besser die sandbox fürs browsen so lassen.
wenn du mal eine erstellen willst, um programme zu testen, die kannst du dann benennen wie du magst.

und welche einstellu8ngen soll die sandbox für unbekannte programme haben?

da reicht ganz normal, keine konfiguration nötig. außer du willst mal trojaner testen, da sollte sie so eingestellt sein wie die zum surfen.

lol trojaner testen, meinnste die die ich selber programmiert habe^^ xD
und wenn ich jetzt n programm ausführen, und es kommt mir verdächtig vor, wie kann ich es dann überprüfen?

nein aber manchmal gibts ja leute die rumm spielen wollen.
testen:
du lädst das programm, machst nen rechtsklick, und in sandboxie starten wählen.
dann wählst du die sandbox die du verwenden willst und los gehts.
verdächtige dateien testen geht hier:
VirusTotal - Free Online Virus, Malware and URL Scanner
oder du meldest dich einfach.

ich hab ein problem: format factury startet nicht, in der sandbox jedoch schon :S
Es kommt volgender error:
Diese Anwendung konnte nicht gestartet werden, weil die Anwendungskonfiguration nicht korrekt ist. ....blabla... neu installieren

EDIT: und zu allem überfluss funktioniert der SD-Kartenleser nicht mehr -.-
und bei Acronis wird die USb-Festplatte nicht mehr erkannnt

wie könnte ich herausfinden was für ein kartenleser das ist und bis wie viel GB der arbeitet, denn bei 1GB funzt es problemlos und bei 8GB leuchtet lampe nix passiert, wenn ich die SD-Karte rausziehe bleibt die LED immernoch an :S

Informationsliste Wert
Geräteeigenschaften
Gerätebeschreibung 7-in-1 SD/MMC USB Device
Treiberdatum 01.07.2001
Treiberversion 5.1.2535.0
Treiberanbieter Microsoft
INF-Datei disk.inf

kennst du ein anderes gutes backupprogramm welches von cd/dvd bootet?