Adware.Livechat entfernen?

#0
25.11.2004, 20:04
...neu hier

Beiträge: 10
#1 Hi, mein Bruder hat es irgendwie geschafft, einen Trojaner, der von [url=http://securityresponse.symantec.com/avcenter/venc/data/pf/adware.livechat.html]Symantec[/url] als Adware.Livechat bezeichnet wird. Die dortige Erklärung hilft mir leider nicht weiter.

Dieser Text taucht alle 30 Minuten auf:

"warning: windows firewall detected suspicious network activity on your computer. Malicous software codes try to steal your privacy information, such as credit card numbers, electronic mail accounts, financial data or passwords.

do you want to download certificated software and protect your computer?"

Spybot, Adaware, CWS Shredder und Antivir sind bereits in der jeweils aktuellsten Version durchgelaufen, konnten aber nichts finden.

Noch Vorschläge?

Das HijackThis Log:

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\SLEE401.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINNT\system32\spoolsrv.exe
C:\WINNT\system32\msbkup.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\KeirNet\K9\K9.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\BitTorrent\btdownloadgui.exe
C:\mIRC\mirc.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Winamp\winamp.exe
C:\WINNT\system32\msswch.exe
C:\WINNT\system32\netddx.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\MangaViewer\Hikaru.exe
C:\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Startup: Launch K9.lnk = C:\Programme\KeirNet\K9\K9.exe
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O15 - Trusted Zone: http://*.63.219.181.7
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/de/wowbeta/Si.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} -
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38157.5255208333
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8E5CEBB-C5A4-451D-A613-54AAF2AA00A2}: NameServer = 192.168.254.254
Dieser Beitrag wurde am 25.11.2004 um 20:45 Uhr von DarkX2 editiert.
Seitenanfang Seitenende
25.11.2004, 20:13
Moderator

Beiträge: 7805
#2 Du hast eine der "Boeseren" Hijacker erwischt.

Starte im abgesicherten Modus, fix bitte mal folgendes:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mstart.de/startseite.php?
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O15 - Trusted Zone: http://*.63.219.181.7

Bennene diese Dateien um:

C:\WINNT\system32\msswch.exe
C:\WINNT\system32\netddx.exe
C:\WINNT\system32\msbkup.exe

Erzeuge ein neues Hijackthis log im abgesicherten Modus(!) und schicke bitte die umbenannten Dateien an virus@rokop-security.de
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
25.11.2004, 20:16
Moderator

Beiträge: 7805
#3 by the way: Weisst du auf welcher Seite du "infiziert" wurdest?
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
25.11.2004, 20:27
...neu hier

Themenstarter

Beiträge: 10
#4 tut mir leid, mein Bruder klagt schon seit ein paar Tagen über das Problem, jetzt ist es auch Accountübergreifend aktiv geworden, nachdem ich gestern erste Checks gemacht hatte.

zu msswch.exe gibt es auch eine gleichnamige Dll und eine msswchx.exe, soll ich die eventuell mitschicken?

Die eingestellte Startseite ist übrigens in Ordnung.
Seitenanfang Seitenende
25.11.2004, 20:36
Moderator

Beiträge: 7805
#5 Ja, schick sie bitte mit.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
25.11.2004, 20:44
...neu hier

Themenstarter

Beiträge: 10
#6 Ok, die Mail ist rausgeschickt.

Beim Neustart hat AntiVir noch einen Dialer mitentdeckt, der 40.exe heißt, und bis jetzt bei mehreren Neustarts von mir instnktiv gelöscht wurde. Soll ich den beim nächsten Mal mitschicken?

Mein Bruder glaubt, er könnte bei einem der Links in diesem Forumsthread infiziert sein: http://warhammer.gamigo.de/forum/thread.php?threadid=2995

Achja, könntest du aus Lesbarkeitsgründen den Startseiteteil wegedidieren?
Dieser Beitrag wurde am 25.11.2004 um 20:46 Uhr von DarkX2 editiert.
Seitenanfang Seitenende
25.11.2004, 21:52
Moderator

Beiträge: 7805
#7 Habe den Link mal herausgenommen. Die Dateien, die hier angekommen sind, scheinen "verstuemmelt" zu sein, auf das Board, was du verlinkt hast, kommt man nur, wenn man sich dort anmeldet. Schick mir doh mal das entsprechende Posting an die obige Adresse.

Versuche es inzwischen mal mit Escan. Vieleicht findet es mehr als Antivir:
http://www.rokop-security.de/board/index.php?showtopic=3867
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
27.11.2004, 11:41
...neu hier

Themenstarter

Beiträge: 10
#8 Hmm, seltsam, dass die Dateien kaputt ankamen.

Die Links:

Zitat



http://www.pwned.nl/

http://home.arcor.de/touhidi/fun/l0rn.swf
nerd !!!

rauche macht krank!!
http://home.arcor.de/touhidi/fun/smokekills.swf

http://home.arcor.de/touhidi/fun/endoftheworld.swf
auch gut!!!

http://home.arcor.de/touhidi/fun/badger.swf
absolut geistfrei !!!! besonders in der endlosschleife!!

http://www.wagenschenke.ch/
gutes game für zwischendurch !!

alles aus dem forum unser geliebten page :www.bierbarone.de

Hmm, bei mir ist er nicht mehr aufgetaucht, bei meinem Bruder im Account ist er immer noch aktiv:

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\SLEE401.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\msswch.exe
C:\WINNT\system32\netddx.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vovin.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.44:80
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O15 - Trusted Zone: http://*.63.219.181.7 [rot]gleich gekickt...[/rot]
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/de/wowbeta/Si.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} -
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38157.5255208333
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8E5CEBB-C5A4-451D-A613-54AAF2AA00A2}: NameServer = 192.168.254.254

Den von dir empfohlenen Scan habe ich noch nicht gemacht
Seitenanfang Seitenende
27.11.2004, 12:08
Moderator

Beiträge: 7805
#9 Dise beiden Dateien muessen noch weg:

C:\WINNT\system32\msswch.exe
C:\WINNT\system32\netddx.exe

Pack sie vorher mal mit Winrar oder Winzip und schicke sie nochmal bitte.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
27.11.2004, 12:41
...neu hier

Themenstarter

Beiträge: 10
#10 Hmm, msswch.exe existiert nicht im System32 Ordner, die andere Datei habe ich geschickt...

Die Windowssuche hat auch kein Ergebnis gebracht...
Seitenanfang Seitenende
27.11.2004, 12:52
Moderator

Beiträge: 7805
#11 Schau mal ins Hijackthis log unter den laufenden Prozessen. Da ist sie.

"alle Dateien anzeigen" hast du aktiviert?
Sie dazu auch das:
http://www.trojaner-info.de/hijacker/escan.shtml
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
01.12.2004, 21:41
...neu hier

Themenstarter

Beiträge: 10
#12 So, also eine Datei namens msswch.exe gibt es auf dem Rechner scheinbar wirklich nicht -nur HijackThis meldet sie noch. Netddx.exe habe ich diesmal über den Taskmanager beendet, und dann eine Kopie der Datei erstellt, die ich jetzt schicke...

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\SLEE401.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINNT\system32\spoolsrv.exe
C:\WINNT\system32\msbkup.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINNT\system32\msswch.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Downloads\HijackThis.exe
C:\WINNT\system32\taskmgr.exe
C:\DOKUMENTE UND EINSTELLUNGEN\SVEN\DESKTOP\mwav.exe
C:\DOKUMENTE UND EINSTELLUNGEN\SVEN\DESKTOP\mwav.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vovin.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/de/wowbeta/Si.cab
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} -
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?38157.5255208333
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8E5CEBB-C5A4-451D-A613-54AAF2AA00A2}: NameServer = 192.168.254.254

Hmm, Mail kann ich nicht schicken über das Webinterface, weil Web.de einen Virus feststellt, muss ich nacher aus meinem Account machen...
Seitenanfang Seitenende
02.12.2004, 04:57
Moderator

Beiträge: 7805
#13 Doch, die sind alle noch da.

Nutz mal die rm.zip Datei aus diesem Posting:
http://forums.skads.org/index.php?showtopic=80

Entpacke es in dein System32 Ordner und starte de rem.bat im abgesicherten Modus.

Danach wird es eine bad.zip im systemordner und eine log.txt in c:\ geben. Starte neu und schick mir mal beides.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
09.12.2004, 13:28
...neu hier

Themenstarter

Beiträge: 10
#14 Die Log.txt gibt es in der Tat, eine bad.zip dagegen suche ich vergeblich...
Hier die Log:


Microsoft Windows 2000 [Version 5.00.2195]
C:\WINNT\system32
"Files found"
---------------------------------------------------------------------
msswch.exe
adsnp.dll
cdrview.dll
comctrl32.dll
smbin.exe
spoolsrv.exe
MSBKUP.EXE
usb.dll

Zipping files............
---------------------------------------------------------

deleting files........
---------------------------------------------------------

"Files Not Deleted"
---------------------------------------------------------------------

Checking for version 2 files..........
Files Found
------------------------------------------------------------

Zipping files............
---------------------------------------------------------

deleting files........
---------------------------------------------------------

Files Not deleted
------------------------------------------------------------

Merging registry entries
-----------------------------------------------------------------
The Registry Entries Found...
-----------------------------------------------------------------

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\Files]
"40.exe"=""
"msswch.exe"=""
"adsnp.dll"=""
"cdrview.dll"=""
"comctrl32.dll"=""
"dbconf.exe"=""
"qwinsta32.exe"=""
"routenet.exe"=""
"smbin.exe"=""
"taskrun.exe"=""
"usrdate.exe"=""
"spoolsrv.exe"=""
"winmcd.exe"=""
"winsrv.exe"=""
"msbkup.exe"=""
"usb.dll"=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\Processes]
"40.exe"=""
"msswch.exe"=""
"dbconf.exe"=""
"qwinsta32.exe"=""
"routenet.exe"=""
"smbin.exe"=""
"taskrun.exe"=""
"usrdate.exe"=""
"spoolsrv.exe"=""
"winmcd.exe"=""
"winsrv.exe"=""
"msbkup.exe"=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\RegKeys]
"{98DBBF16-CA43-4c33-BE80-99E6694468A4}"=""
"{A5366673-E8CA-11D3-9CD9-0090271D075B}"=""
"Files"=""
"Ms4Hd"=""
"Processes"=""
"RegKeys"=""
"RegValues"=""
"Vendor"=""

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Ms4Hd\RegValues]
"msbkup.exe"=""
"spoolsrv.exe"=""

-----------------------------------------------------------------

Done
Seitenanfang Seitenende
09.12.2004, 16:31
Moderator

Beiträge: 7805
#15 Poste bitte noch ein neues Log und ich hoffe, das dann alles erledigt ist.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: