Home » Viren, Trojaner & Malware Forum » bloodhound.w32.ep / arsetup / prozessor auslastung » Themenansicht

bloodhound.w32.ep / arsetup / prozessor auslastung
#0
17.09.2004, 08:46
opee
...neu hier

Beiträge: 5
#1 kann mir jemand helfen?
sieht so aus als ob ein paar viren auf meinem computer sind.
die trial-version von norton antivirus2004 zeigte mir eine infektion vom virus bloodhound.w32.ep an, konnte die aber nicht löschen.
desweiteren sorgt der prozess arsetup.exe für eine prozessorauslastung von 98%!
poste hier mal mein hujackthis-log:

Logfile of HijackThis v1.98.2
Scan saved at 21:42:34, on 16.09.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Temp\100_VIRUZ\Antivir\disk_1\AVWUPSRV.EXE
C:\WINDOWS\system32\crypserv.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
C:\WINDOWS\System32\RUNDLL32.exe
C:\WINDOWS\System32\sxvhost.exe
C:\temp\msbb.exe
C:\Programme\Web_Rebates\WebRebates0.exe
C:\Programme\BullsEye Network\bin\bargains.exe
C:\WINDOWS\System32\winmon32.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\UBSE-B~1\UBS Shell\UBSShell.exe
C:\WINDOWS\System32\winmon32.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Web_Rebates\WebRebates1.exe
c:\arsetup.exe
E:\Temp\100_VIRUZ\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.livenet.ch/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = D83756265545013.S693.co.uk:2326
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\WINDOWS\System32\apuc.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WheelMouse] C:\PROGRA~1\A4Tech\Mouse\Amoumain.exe
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\A4Tech\Keyboard\Ikeymain.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKLM\..\Run: [Microsoft--Updates] sxvhost.exe
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load
O4 - HKLM\..\Run: [REGRUN] C:\windows\mActiveX.exe
O4 - HKLM\..\Run: [Winad Client] C:\Program Files\Winad Client\Winad.exe
O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [qzgl] C:\WINDOWS\qzgl.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [Window Monitor] winmon32.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [Windows Monitor] winmon.exe
O4 - HKLM\..\Run: [msn messanger] c:\arsetup.exe
O4 - HKLM\..\RunServices: [Microsoft--Updates] sxvhost.exe
O4 - HKLM\..\RunServices: [Window Monitor] winmon32.exe
O4 - HKLM\..\RunServices: [Windows Monitor] winmon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [UBSShell] "C:\PROGRA~1\UBSE-B~1\UBSPay\..\UBS Shell\UBSShell.exe" Hidden
O4 - HKCU\..\Run: [Window Monitor] winmon32.exe
O4 - HKCU\..\Run: [Windows Monitor] winmon.exe
O4 - HKCU\..\RunServices: [Windows Monitor] winmon.exe
O4 - HKCU\..\RunServices: [Window Monitor] winmon32.exe
O4 - Startup: Microsoft Outlook starten.lnk = C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_file.php?bt=ie&p=5f431369df59d8813229c851b42b9d6af28f3d51e75868abc8fa80184c44f0d644e511c78a49f9c08ad622a61ed6aa5b57e382dbb32c6cdd308ce643f4db1cef:7c6f4dbde71a3c5c3b2a69ff2df3d48a
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab

vielen dank für eure hilfe! opee
Seitenanfang Seitenende
17.09.2004, 09:59
paff
Member

Beiträge: 1095
#2 @opee

Leider ist dein Rechner total verseucht.
Am schnellsten und am sichersten wäre wohl neu zu formatieren.

Hier ein Link zu "sicheren" neuaufsetzen von XP
http://www.dieschis-welt.de/wbboard/thread.php?threadid=4597&boardid=25&styleid=1

Wenn du die Reinigung versuchen willst mach folgendes.

Bitte deinsatlliere das Programm "Winad Client" unter Systemsteuerung/Software

Bitte lade dir ESCAN
Entpacken und updaten wie angegeben

Geh in den Abgesicherten Modus

AB JETZT NICHT MEHR DEN INTERNET EXPLORER ÖFFNEN!!!!!!!!!!!!!!
Fixe bitte das in HiJackThis (ankreuzen und FixChecked drücken)
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)
O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll
O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll
O2 - BHO: Url Catcher - {CE31A1F7-3D90-4874-8FBE-A5D97F8BC8F1} - C:\WINDOWS\System32\apuc.dll
O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKLM\..\Run: [Microsoft--Updates] sxvhost.exe
O4 - HKLM\..\Run: [RunDLL] rundll32.exe "C:\WINDOWS\Downloaded Program Files\bridge.dll",Load
O4 - HKLM\..\Run: [REGRUN] C:\windows\mActiveX.exe
O4 - HKLM\..\Run: [Winad Client] C:\Program Files\Winad Client\Winad.exe
O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [qzgl] C:\WINDOWS\qzgl.exe
O4 - HKLM\..\Run: [BullsEye Network] C:\Programme\BullsEye Network\bin\bargains.exe
O4 - HKLM\..\Run: [Window Monitor] winmon32.exe
O4 - HKLM\..\Run: [Windows Monitor] winmon.exe
O4 - HKLM\..\Run: [msn messanger] c:\arsetup.exe
O4 - HKLM\..\RunServices: [Microsoft--Updates] sxvhost.exe
O4 - HKLM\..\RunServices: [Window Monitor] winmon32.exe
O4 - HKLM\..\RunServices: [Windows Monitor] winmon.exe
O4 - HKCU\..\Run: [Window Monitor] winmon32.exe
O4 - HKCU\..\Run: [Windows Monitor] winmon.exe
O4 - HKCU\..\RunServices: [Windows Monitor] winmon.exe
O4 - HKCU\..\RunServices: [Window Monitor] winmon32.exe
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} - http://www.mt-download.com/MediaTicketsInstaller.cab

Dann mit Escan scannen wie oben beschrieben

Dann neustart machen und nochmal das Logfile posten

Gruß paff

P.S.
Besorg dir einen Virenscanner ;)
z.B. www.antivir.de
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Dieser Beitrag wurde am 17.09.2004 um 10:00 Uhr von paff editiert.
Seitenanfang Seitenende
17.09.2004, 13:43
MobyDuck
Member

Beiträge: 38
#3 Kann mich dem nur anschließen. Du hast dir den RBot-FH eingefangen. Was dieser Wurm macht, steht hier:

http://www.sophos.de/virusinfo/analyses/w32rbotfh.html

Dein System ist daher nicht mehr vertrauenswürdig, dein Computer ist nicht mehr dein Freund.

Außerdem hast du diverse Spyware installiert, die jedoch nicht mehr so ins Gewicht fällt, siehe oben.

Schließlich ist dein System schlecht gepflegt. So viele Autostartaufrufe aus der Registry (04 im Log) braucht kein Mensch. Du selbst solltest überlegen, welchem Programm du einen Autostart erlaubst und das nicht dem Setup überlassen.

Allein schon wegen des RBot ist es das Beste Paff's Rat zu folgen und neu aufzusetzen. Angesichts der weiteren Probleme ist das nicht nur die sicherste, sondern wohl auch die schnellste Lösung.

Achtung:

Zitat

Hier ein Link zu "sicheren" neuaufsetzen von XP
http://www.dieschis-welt.de/wbboard/thread.php?threadid=4597&boardid=25&styleid=1
Die verlinkte Seite ist von Freitag Abend bis voraussichtlich Sonntag Abend nicht zu erreichen.
Seitenanfang Seitenende
17.09.2004, 16:59
opee
...neu hier

Themenstarter

Beiträge: 5
#4 danke für die infos.
werde ihn wahrscheinlich wirklich neu aufsetzen...
gruss opee
Seitenanfang Seitenende
17.09.2004, 20:53
paff
Member

Beiträge: 1095
#5 @MobyDuck

Zitat

Die verlinkte Seite ist von Freitag Abend bis voraussichtlich Sonntag Abend nicht zu erreichen.
Hast natürlich recht, hab die EMail auch gekriegt. Leider vergessen ;)

Gruß paf
__________
http://www.downclockers.com/ourforum/index.php?board=71.0 Reverse Engineering Malware
Seitenanfang Seitenende
27.10.2004, 18:03
seb1406
...neu hier

Beiträge: 2
#6 hey leute könntetzt ihr mir HELFEN!!!!!!
Ich brauch unbedingt eure hilfe also ich habe meinen computer nach den virusen gescant und er hat glaub ich 3 viruse gefunden und es sind 39 datein infiziert und einer von dennen ist derbloodhound.w32.ep und ich hab dauernd 100% cpu auslastung und wenn ihr sagen wollts das ich denn computer neue aufsetzte das habe ich schon 2 mal versucht immer kommt daselbe raus
Seitenanfang Seitenende
27.10.2004, 18:31
seb1406
...neu hier

Beiträge: 2
#7 er hat folgendes gefunden: C:\WINDOWS\system32\Aol.exe is infected with Win32.HLLW.Agobot
C:\WINDOWS\system32\h2m6w5s.exe is infected with Win32.HLLW.ForBot.based
C:\WINDOWS\system32\msvc32.exe is infected with Win32.HLLW.Agobot
C:\WINDOWS\system32\ns.exe is infected with Win32.HLLW.Agobot
C:\WINDOWS\system32\scvhost.exe is infected with Win32.HLLW.Agobot
C:\WINDOWS\system32\sndloader.exe is infected with Win32.HLLW.Agobot.3
C:\Programme\Common files\SearchUpgrader\SearchUpgrader.exe is infected with Trojan.KeenValAd
C:\WINDOWS\system32\MSlti64.exe is infected with Win32.HLLW.Agobot
C:\WINDOWS\system32\sndloader.exe.poly is infected with Win32.HLLW.Agobot.3
C:\WINDOWS\system32\winhlpp32.exe is infected with Win32.HLLW.Agobot
C:\Dokumente und Einstellungen\Sebastian\Lokale Einstellungen\Temp\uptd.exe is infected with Win32.HLLW.Agobot
C:\WINDOWS\system32\drivers\etc\hosts is infected with Trojan.Qhost
C:\WINDOWS\system32\la0f.exe is infected with Win32.HLLW.ForBot.based
C:\WINDOWS\system32\mnyz.exe is infected with Trojan.DownLoader.465
C:\WINDOWS\system32\MSMSGS.exe is infected with Win32.HLLW.Agobot


--------------------------------------------------------------------------------
Spyware Scan Details:
Stop-Sign has found files belonging to Gator Software Application, which has been independently identified as Spyware, or possible Spyware
Stop-Sign has found cookies belonging to Trafficmp Cookie, which has been independently identified as possible Spyware cookies
Stop-Sign has found cookies belonging to Tracking.Cookie, which has been independently identified as possible Spyware cookies
Stop-Sign has found cookies belonging to AdLogics Cookie, which has been independently identified as possible Spyware cookies
Stop-Sign has found cookies belonging to Falag Cookie, which has been independently identified as possible Spyware cookies
Stop-Sign has found files belonging to Backweb lite Software Application, which has been independently identified as Spyware, or possible Spyware
Stop-Sign has found cookies belonging to SpyLog Cookie, which has been independently identified as possible Spyware cookies
Stop-Sign has found files belonging to MyWay Speedbar Application, which has been independently identified as Spyware, or possible Spyware
Stop-Sign has found cookies belonging to AvenueA Cookie, which has been independently identified as possible Spyware cookies
Stop-Sign has found cookies belonging to MediaPlex Cookie, which has been independently identified as possible Spyware cookies
Stop-Sign has found cookies belonging to CoreMetrics Cookie, which has been independently identified as possible Spyware cookies
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1