Pakes.A.602, Wie loswerden? Einstellungen

[Joshy]

Bekomme mmer wieder die Warnung vor obigen Trojaner.
Oder noch anderen von meinem Schutzprogramm.
Obwohl beim Scan nichts zu finden ist.
Wo versteckt sich das?
Taucht immer wieder beim surfen auf.
Habe die Vermutung, das das Ding irgenwo getrnt im System steckt.

[Gast_Phoinix_*]

Was für ein System?
Was für ein Virenscanner? usw. n bissi mehr an Information wäre net schlecht.

Dann erstelle doch bitte mal ein Hijackthis Log (bitte hier posten) dann können sich die Experten hier im Forum mal drüber stürzen.

[Joshy]

Ich habe bereits eine Autoauswertung gestartet.
Nicht gefunden.
Ich bekomme auch noch immer wieder:

TR/Dialer.U.3

Das Log:

Logfile of HijackThis v1.99.1
Scan saved at 16:42:57, on 27.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\XAMPP\xampp\apache\bin\apache.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
D:\XAMPP\xampp\FileZillaFTP\FileZillaServer.exe
D:\XAMPP\xampp\mysql\bin\mysqld-nt.exe
C:\Programme\Kerio\Personal Firewall\persfw.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\AccessManager\PMAC\sp_SWIns.exe
C:\WINDOWS\wanmpsvc.exe
D:\XAMPP\xampp\apache\bin\apache.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\bcmntray.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\Browser Mouse\mouse32a.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
D:\XAMPP\xampp\mysql\bin\winmysqladmin.exe
C:\Programme\HPQ\shared\hpqwmi.exe
C:\Programme\TeamCu\SeeYou20\SeeYou.exe
C:\AOL70\waol.exe
C:\WINDOWS\system32\mdm.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\wpuser\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.segelflug.de/wwwboard/index.html
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\ljjgfdc.dll
O2 - BHO: (no name) - {A4F94C0C-54A7-4DB1-9AF3-B22E63D00309} - C:\WINDOWS\g2300890.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\bcmntray
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser Mouse\mouse32a.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: WinMySQLadmin.lnk = D:\XAMPP\xampp\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{FBCF9D52-4E68-4864-9FF1-16C0E5ED49C2}: NameServer = 205.188.146.145
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: ljjgfdc - C:\WINDOWS\SYSTEM32\ljjgfdc.dll
O20 - Winlogon Notify: winuns32 - C:\WINDOWS\SYSTEM32\winuns32.dll
O23 - Service: Access Manager Configuration Service (AMBroker) - MCI, Inc. - C:\Programme\AccessManager\Client\AMBroker.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Unknown owner - D:\XAMPP\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Visual Insight DA Plugin (DAPlugin) - MCI, Inc. - C:\Programme\AccessManager\Client\DAPlugin.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - D:\XAMPP\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\shared\hpqwmi.exe
O23 - Service: mysql - Unknown owner - D:\XAMPP\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SP Software Installer - Smartpipes, Inc. - C:\Programme\AccessManager\PMAC\sp_SWIns.exe
O23 - Service: Visual Insight Dial Analysis (sp_spi_da) - Smartpipes, Inc. - C:\Programme\AccessManager\SMOC\spi_da.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe
O23 - Service: XAMPP Service (XAMPP) - Unknown owner - D:\XAMPP\xampp\service.exe

[Voyager]

http://rapidshare.de/files/27073802/eScan_4.4.7.zip.html
Escan mit aktuellen Signaturen (26.7.2006) zusammengepackt , du musst das Verzeichnis Bases_X nur auf deine Festplatte kopieren und das Programm mwavscan.com starten.
Dann häkelste Festplatten und alle Dateien an und drückst auf ScanClean.

versuche es erstmal damit und dann erstelle ein neues LOG .

[Joshy]

Neues Log:

Logfile of HijackThis v1.99.1
Scan saved at 18:25:35, on 02.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
D:\XAMPP\xampp\apache\bin\apache.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
D:\XAMPP\xampp\FileZillaFTP\FileZillaServer.exe
D:\XAMPP\xampp\mysql\bin\mysqld-nt.exe
C:\Programme\Kerio\Personal Firewall\persfw.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\AccessManager\PMAC\sp_SWIns.exe
C:\WINDOWS\wanmpsvc.exe
D:\XAMPP\xampp\apache\bin\apache.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\bcmntray.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\Browser Mouse\mouse32a.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
D:\XAMPP\xampp\mysql\bin\winmysqladmin.exe
C:\Programme\HPQ\shared\hpqwmi.exe
C:\AOL70\waol.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\DOKUME~1\wpuser\LOKALE~1\Temp\Temporäres Verzeichnis 5 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.segelflug.de/wwwboard/index.html
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\ljjgfdc.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\bcmntray
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser Mouse\mouse32a.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: WinMySQLadmin.lnk = D:\XAMPP\xampp\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{FBCF9D52-4E68-4864-9FF1-16C0E5ED49C2}: NameServer = 205.188.146.145
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: ljjgfdc - C:\WINDOWS\SYSTEM32\ljjgfdc.dll
O20 - Winlogon Notify: winuns32 - C:\WINDOWS\SYSTEM32\winuns32.dll
O23 - Service: Access Manager Configuration Service (AMBroker) - MCI, Inc. - C:\Programme\AccessManager\Client\AMBroker.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Unknown owner - D:\XAMPP\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Visual Insight DA Plugin (DAPlugin) - MCI, Inc. - C:\Programme\AccessManager\Client\DAPlugin.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - D:\XAMPP\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\shared\hpqwmi.exe
O23 - Service: mysql - Unknown owner - D:\XAMPP\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SP Software Installer - Smartpipes, Inc. - C:\Programme\AccessManager\PMAC\sp_SWIns.exe
O23 - Service: Visual Insight Dial Analysis (sp_spi_da) - Smartpipes, Inc. - C:\Programme\AccessManager\SMOC\spi_da.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe
O23 - Service: XAMPP Service (XAMPP) - Unknown owner - D:\XAMPP\xampp\service.exe

[Voyager]

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\ljjgfdc.dll
O20 - Winlogon Notify: ljjgfdc - C:\WINDOWS\SYSTEM32\ljjgfdc.dll
O20 - Winlogon Notify: winuns32 - C:\WINDOWS\SYSTEM32\winuns32.dll
das in der Konbination Browser helper und Winlogon-einbindung ist mit hoher wahrscheinlichkeit Malware.

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

das gehört laut Recherche zu Intel Applikationen allerdings wundere ich mich sehr was ein "Intel Graphics Accelerator Helper Module" (igfxsrvc.dll) an der Stelle wo es sich bei dir im Log befindet zu suchen hat ? die Eigenschaften der Prozesse würde ich nochmal genauer kontrollieren .

[raman]

Als erstes bitte die Datentraegerbereinigung nutzen:
http://support.microsoft.com/default.aspx?scid=kb;de;315246
dann ein Datfindbat report erstellen und posten (nach Anleitung)
http://virus-protect.org/datfindbat.html

und zusaetzlich noch folgendes machen:


Folgende Dateien:

C:\WINDOWS\SYSTEM32\winuns32.dll
C:\WINDOWS\SYSTEM32\ljjgfdc.dll (vundo!?)

Bitte hier pruefen:
http://www.virustotal.com/en/indexf.html
oder hier:
http://virusscan.jotti.org/

und Antivir wie folgt einstellen:
http://board.protecus.de/t23979.htm

[Joshy]

Es hängt anscheinend an der ljjgfdc.dll.
Diese läßt sich weder mit hijackthis eliminieren, noch ist sie mit dem explorer zu finden.
Sowie an winus32.dll.
Diese generiert sie dauernd neu.
Ist nicht unter virustotal als virus identifizierbar.
Im log erscheint sie.
Was tun?


Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 0CA9-57AF

Verzeichnis von C:\WINDOWS\system32

03.08.2006 09:59 311.938 perfh009.dat
03.08.2006 09:59 40.326 perfc009.dat
03.08.2006 09:59 317.168 perfh007.dat
03.08.2006 09:59 48.552 perfc007.dat
03.08.2006 09:59 723.744 PerfStringBackup.INI
02.08.2006 09:25 11.776 ismon.exe
31.07.2006 10:45 14.848 cool.exe
29.07.2006 09:18 2.262 wpa.dbl
19.07.2006 09:48 181.882 HCW_ChanDB.LOG
09.07.2006 10:09 57.384 avsda.dll
02.07.2006 07:40 39.437 ljjgfdc.dll
02.07.2006 07:39 15.872 winuns32.dll
01.06.2006 13:14 643.145 hcwtvwnd.dll
26.05.2006 11:02 81.920 hcwSplit.ax
25.05.2006 08:59 73.728 hcwFRead.ax
08.05.2006 16:48 143.360 HCWPsiParser.ax
21.04.2006 15:10 159.744 hcwChDB.dll
20.04.2006 16:22 245.816 hcwpnp32.dll
18.04.2006 11:02 94.264 hcwi2c32.dll
06.04.2006 13:46 65.536 hcwNowNext.ax
28.03.2006 17:38 57.344 HCWdlace.ax
23.03.2006 14:13 356.352 HCWChMgr.ocx
23.02.2006 16:03 69.632 hcwChMgr.deu
23.02.2006 16:03 77.824 hcwTVDlg.deu
23.02.2006 16:02 65.536 hcwDlg.deu
23.02.2006 16:02 61.440 hcwChan.deu
21.02.2006 14:42 98.304 CmdLineExt.dll
16.02.2006 17:47 28.672 hcwsched.dll
14.02.2006 13:11 118.784 HCWSched.ocx
13.02.2006 15:02 57.344 hcwFWrit.ax
05.02.2006 19:45 2.368 SVKP.sys
25.01.2006 16:49 40.960 HcwTvTvOCX.ocx
25.01.2006 16:47 40.960 GButton.ocx
25.01.2006 16:45 36.864 ButtonEx.ocx
25.01.2006 16:38 69.632 3DES.dll
15.11.2005 01:29 32.768 emPRP.ax
17.10.2005 15:49 157.696 rmoc3260.dll
17.10.2005 15:49 25.088 prefscpl.cpl
17.10.2005 15:49 5.632 pndx5032.dll
17.10.2005 15:49 6.656 pndx5016.dll
17.10.2005 15:49 278.528 pncrt.dll
17.10.2005 15:32 0 CAIlang.txt
07.10.2005 11:54 176.197 hcwmux.ax
16.09.2005 23:39 40.960 bdadll.dll
18.08.2005 14:53 23.064 HcwChDB.tlb
20.07.2005 09:57 1.093.632 pxsfs.dll
20.07.2005 09:57 108.544 pxcpyi64.exe
20.07.2005 09:57 56.832 pxcpya64.exe
20.07.2005 09:57 104.960 pxinsi64.exe
20.07.2005 09:57 53.760 pxinsa64.exe
20.07.2005 09:57 57.344 pxhpinst.exe
20.07.2005 09:57 28.672 VXBLOCK.dll
20.07.2005 09:57 339.968 PxWave.dll
20.07.2005 09:57 159.744 PxMas.dll
20.07.2005 09:57 360.448 Px.dll
18.07.2005 09:05 1.047.552 mfc71u.dll
11.07.2005 14:03 99.048 FNTCACHE.DAT
11.07.2005 14:02 8 success
11.07.2005 13:50 3.799 jupdate-1.5.0_04-b05.log
08.07.2005 15:14 0 h323log.txt
08.07.2005 14:24 532 $winnt$.inf
08.07.2005 14:20 2.951 CONFIG.NT
08.07.2005 14:20 16.832 amcompat.tlb
08.07.2005 14:20 23.392 nscompat.tlb
08.07.2005 14:19 488 WindowsLogon.manifest
08.07.2005 14:19 488 logonui.exe.manifest
08.07.2005 14:19 749 wuaucpl.cpl.manifest
08.07.2005 14:19 749 cdplayer.exe.manifest
08.07.2005 14:19 749 sapi.cpl.manifest
08.07.2005 14:19 749 nwc.cpl.manifest
08.07.2005 14:19 749 ncpa.cpl.manifest
08.07.2005 14:16 21.740 emptyregdb.dat
09.06.2005 22:32 692.736 DivX.dll
09.06.2005 14:35 1.300.312 MRT.exe
06.06.2005 23:13 356.436 DivXMedia.ax
03.06.2005 03:52 127.078 javaws.exe
03.06.2005 03:52 49.265 jpicpl32.cpl
03.06.2005 02:24 49.250 javaw.exe
03.06.2005 02:24 49.248 java.exe
29.05.2005 01:35 692.224 divxdec.ax
27.05.2005 04:04 546.304 hhctrl.ocx
27.05.2005 04:04 41.472 hhsetup.dll
27.05.2005 04:04 137.216 itss.dll
27.05.2005 04:04 155.136 itircl.dll
26.05.2005 04:16 41.240 wups.dll
26.05.2005 04:16 173.536 wuweb.dll
26.05.2005 04:16 1.343.768 wuaueng.dll
26.05.2005 04:16 18.200 wups2.dll
26.05.2005 04:16 198.424 iuengine.dll
26.05.2005 04:16 75.544 cdm.dll
26.05.2005 04:16 174.872 wuaucpl.cpl
26.05.2005 04:16 174.872 wuauclt1.exe
26.05.2005 04:16 124.696 wuauclt.exe
26.05.2005 04:16 128.280 wucltui.dll
26.05.2005 04:16 194.840 wuaueng1.dll
26.05.2005 04:16 466.200 wuapi.dll
24.05.2005 23:32 10.775 dsm_ja.qm
24.05.2005 23:32 15.153 dsm_fr.qm
24.05.2005 23:32 15.351 dsm_de.qm
24.05.2005 23:32 4.276 divxsm.tlb
24.05.2005 23:32 524.288 DivXsm.exe
20.05.2005 20:25 3.136 dtu_de.qm
18.05.2005 23:40 200.704 dtu100.dll
17.05.2005 02:42 17.408 xpsp3res.dll
11.05.2005 18:48 65.536 WLTRYSVC.EXE
11.05.2005 18:48 86.016 wltrynt.dll
11.05.2005 18:48 65.536 preflib.dll
11.05.2005 18:48 847.981 BCMWLTRY.EXE
11.05.2005 18:48 1.212.416 bcmwcfg.dll
11.05.2005 18:48 913.408 bcmctrls.dll
11.05.2005 18:48 1.138.688 bcmcfg.cpl
11.05.2005 18:48 950.272 bcmacfg.dll
11.05.2005 18:48 172.032 BCMLogon.dll
11.05.2005 18:48 1.044.480 bcmntray.EXE
11.05.2005 18:48 1.396.831 AegisE5.dll
11.05.2005 18:48 192.512 AegisI5.exe
11.05.2005 18:47 69.632 bcmwlD2K.EXE
11.05.2005 18:47 176.128 bcmwlu00.EXE
11.05.2005 04:30 78.336 telnet.exe
05.05.2005 03:12 671.744 divx_xx11.dll
05.05.2005 03:12 688.128 divx_xx0c.dll
05.05.2005 03:12 688.128 divx_xx07.dll
04.05.2005 14:45 884.736 msimsg.dll
04.05.2005 14:45 271.360 msihnd.dll
04.05.2005 14:45 78.848 msiexec.exe
04.05.2005 14:45 15.360 msisip.dll
04.05.2005 14:45 2.890.240 msi.dll
02.05.2005 22:56 605.696 urlmon.dll
02.05.2005 22:56 663.552 wininet.dll
02.05.2005 22:56 448.512 mshtmled.dll
02.05.2005 22:56 3.011.072 mshtml.dll
02.05.2005 22:56 1.484.288 shdocvw.bak
02.05.2005 22:56 1.484.288 shdocvw.dll
02.05.2005 22:56 39.424 pngfilt.dll
02.05.2005 22:56 474.112 shlwapi.dll
02.05.2005 22:56 146.432 msrating.dll
02.05.2005 22:56 96.768 inseng.dll
02.05.2005 22:56 250.880 iepeers.dll
02.05.2005 22:56 1.019.904 browseui.dll
02.05.2005 22:56 152.064 cdfview.dll

[raman]

Du kannst ja mal diese Anleitung abarbeiten:
http://www.bleepingcomputer.com/forums/topic18610.html und danach ein neues Hijackthis log posten.

[Voyager]

@Joshy

die Malware die über den Winlogon mitgestartet lässt sich auch nur schwer entfernen. die beste Möglichkeit hier sind da Live-CDs wie z.b. Barts PE-Builder .
http://www.wintotal.de/Artikel/pebuilder/pebuilder.php , hier wird beschrieben wie man das zu einer CD macht und http://www.nu2.nu/pebuilder/download/ hier kannst du das Laden.
dann startest du dein PC über die CD , gehst ins C:\WINDOWS\SYSTEM32\ verzeichnis und löschst beide DLL-Darteien.

[Joshy]

Das Problem ist:
die Datei ljj... ist überhaupt nicht im Verzeichnis zu finden.
Obwohl diverse AV Programme sie dann anzeigt.
Auch nicht versteckt.

[Voyager]

dann hast du vermutlich noch einen Rootkit drauf ..... Wenn du aber dein PC von einem sauberen Medium (Live-CD) startest ist diese Datei wieder sichtbar und du kannst sie löschen.

[raman]

Und das wird alles durch vundofix beseitigt.....

VundoFix can now remove the Rootkit that was previously hiding it

[Voyager]

@raman

Stimmt , ich hatte das auf deinem Link jetzt erst gelesen.
Das hier könnte dann auch noch hilfreich sein, das Tool ist relativ neu.
http://rapidshare.de/files/28032087/Lavaso...emover.zip.html

[raman]

Bitte daran denken, das es eine Betaversion ist!

[Joshy]

vundofix hat ihn anscheinend eliminiert.
Mußte das Ding jedoch 2 mal laufen lassen.
hijackthis fand dann noch immer den Eintrag.
Konnte ihn jedoch dann löschen.
Mal sehen ob´s das jetzt war.

Was für ein aufdringliches Ding...

[raman]

Poste bitte, zur Kontrolle ein aktuelles Hijackthis log.

Antivir hast du schon wie hier beschrieben eingestellt? http://board.protecus.de/t23979.htm

[Joshy]

Antivir ist so eingestellt.

Aktuelles Log:

Logfile of HijackThis v1.99.1
Scan saved at 22:45:35, on 04.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\wltrysvc.exe
C:\WINDOWS\System32\bcmwltry.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\bcmntray.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\Browser Mouse\mouse32a.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
D:\XAMPP\xampp\apache\bin\apache.exe
D:\XAMPP\xampp\mysql\bin\winmysqladmin.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
D:\XAMPP\xampp\FileZillaFTP\FileZillaServer.exe
D:\XAMPP\xampp\mysql\bin\mysqld-nt.exe
C:\Programme\Kerio\Personal Firewall\persfw.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\AccessManager\PMAC\sp_SWIns.exe
C:\WINDOWS\wanmpsvc.exe
D:\XAMPP\xampp\apache\bin\apache.exe
C:\Programme\HPQ\shared\hpqwmi.exe
C:\AOL70\waol.exe
C:\WINDOWS\system32\mdm.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\update.exe
C:\Programme\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe
C:\DOKUME~1\wpuser\LOKALE~1\Temp\Temporäres Verzeichnis 10 für hijackthis_199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.segelflug.de/wwwboard/index.html
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\bcmntray
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Programme\Browser Mouse\mouse32a.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: WinMySQLadmin.lnk = D:\XAMPP\xampp\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{FBCF9D52-4E68-4864-9FF1-16C0E5ED49C2}: NameServer = 205.188.146.145
O23 - Service: Access Manager Configuration Service (AMBroker) - MCI, Inc. - C:\Programme\AccessManager\Client\AMBroker.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apache2 - Unknown owner - D:\XAMPP\xampp\apache\bin\apache.exe" -k runservice (file missing)
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: Visual Insight DA Plugin (DAPlugin) - MCI, Inc. - C:\Programme\AccessManager\Client\DAPlugin.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - Unknown owner - D:\XAMPP\xampp\FileZillaFTP\FileZillaServer.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\shared\hpqwmi.exe
O23 - Service: mysql - Unknown owner - D:\XAMPP\xampp\mysql\bin\mysqld-nt.exe
O23 - Service: Kerio Personal Firewall (PersFw) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall\persfw.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: SP Software Installer - Smartpipes, Inc. - C:\Programme\AccessManager\PMAC\sp_SWIns.exe
O23 - Service: Visual Insight Dial Analysis (sp_spi_da) - Smartpipes, Inc. - C:\Programme\AccessManager\SMOC\spi_da.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe
O23 - Service: XAMPP Service (XAMPP) - Unknown owner - D:\XAMPP\xampp\service.exe

[raman]

Das sieht an sich anz gut aus, nur war oben vom Datfindreport nur system32 dabei und das nicht von den letzten 3 Monaten, sondern allesd!:) Wenn du den rest der DAteien, mit den Dateien der letzten 2-3 Monate posten koenntest.

Schicke bitte folgendes aus dem System32 Ordner an virus@rokop-security.de :

02.08.2006 09:25 11.776 ismon.exe
31.07.2006 10:45 14.848 cool.exe