"games.cab/.exe" - Dialer? trotz fixen vorhanden

#0
17.02.2005, 11:25
...neu hier

Beiträge: 6
#1 Bitte um Hilfe,

ich hatte gestern schon wegen einem Problem mit Trojanern und Dialern um Hilfe gebeten, leider bis jetzt ohne Antwort. Einen Teil scheine ich nun doch irgendwie wegbekommen zu haben, aber die Dateien

games.cab bzw. games.exe halten sich hartnäckig.

Und auch der Trojaner ist wieder da, wie's scheint

Kann mir jemand sagen was das ist und wie ich es losbekomme?

Hier nochmal der Logfile

Logfile of HijackThis v1.99.0
Scan saved at 10:22:18, on 17.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ZipMagic\zm32nt.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Program Files\hijackthis199[1]\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ZipMagic] C:\Programme\ZipMagic\zm32nt.exe
O4 - HKLM\..\Run: [¢‰¸u0Ô@ÔÁÐ]­ú"ü‰üžiC:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\ylumrl.exe
O4 - HKLM\..\Run: [¢‰¸u0Ô@ÔÁÐ]­ú"ü‰¸u0C:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\ylumrl.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [ZipMagic] C:\Programme\ZipMagic\zm32nt.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\fltmgr.dll
O18 - Filter: text/html - {B6D93D63-D4B1-4184-9DD4-EF2CD9D19C60} - C:\Dokumente und Einstellungen\K.H.Staub\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.26.dat
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Ereignisprotokoll-Überwachung - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: X10 Device Network Service - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Wer kann mir helfen?

Vielen Dank. Tessa-Luisa
Dieser Beitrag wurde am 17.02.2005 um 12:27 Uhr von Tessa-Luisa editiert.
Seitenanfang Seitenende
17.02.2005, 15:50
Member

Beiträge: 1132
#2 Hallo Tessa-Luisa

Du musst wohl ausbaden, was Dein Chef bei seinen Internetausflügen eingefangen hat!

Also, lass uns einmal ganz einfach anfangen

Lade Dir herunter und update
AdAware
http://www.lavasoft.de/support/download/

Spybot S&D hast Du ja

ebenso herunterladen
CWShredder
http://www.majorgeeks.com/download3019.html

LSPfix
http://www.cexx.org/lspfix.htm
(lspfix.txt lesen!)

Mcafee Stinger
http://vil.nai.com/vil/stinger/

KillBox
http://www.bleepingcomputer.com/files/killbox.php

XP-Systemwiederherstellung deaktivieren (das Aktivieren am Schluss nicht vergessen!) Arbeitsplatz => Rechtsklick => Eigenschaften => Systemwiederherstellung => Häkchen entfernen => OK

PC im abgesicherten Modus starten
http://www.bsi.bund.de/av/texte/wiederher_95982000.htm

Mit HJT fixen
O4 - HKLM\..\Run: [¢�¸u0Ô@ÔÁÐ]­ú"ü�ü�iC:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\ylumrl.exe
O4 - HKLM\..\Run: [¢�¸u0Ô@ÔÁÐ]­ú"ü�¸u0C:\Programme\ISTsvc\istsvc.exe] C:\WINDOWS\ylumrl.exe
O18 - Filter: text/html - {B6D93D63-D4B1-4184-9DD4-EF2CD9D19C60} - C:\Dokumente und Einstellungen\K.H.Staub\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.26.dat

PC neu booten

ISTBar Removal Tool
http://www.2-spyware.com/file-istsvc-exe.html
herunterladen und ds System scannen sowie evtl. Funde löschen

Mit AdAware und Spybot S&D einen kompletten Systemscan im abgesicherten und im normalen Modus durchführen und alle gefundenen kritischen Objekte löschen. (Sollte es Probleme mit Deinem Virenwächter geben => vorübergehend abschalten)


In den abgesicherten Modus gehen und mit CWShredder und Stinger scannen. Berichte, was gefunden wurde.

LSPFix öffnen und starten. Wenn Scan beendet => "I know what I am doing" ankreuzen und die Datei fltmgr.dll vom linken in das rechte Fenster ziehen => Finish

Öffne die Killbox => Delete File on Reboot => und kopiere nacheinander die nachfolgenden Dateien mit kompletter Pfadangabe hinein, drücke das rote Kreuz und wenn angefragt wird, ob der Rechner neu gestartet werden soll, dann antworte mit "no" usf. bis zur letzten Datei, dann mit "yes" antworten
C:\Programme\ISTsvc\istsvc.exe
C:\WINDOWS\ylumrl.ex
C:\Dokumente und Einstellungen\K.H.Staub\Lokale Einstellungen\Anwendungsdaten\microsoft\internet explorer\V0.26.dat

HJT Log erstellen und posten

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Dieser Beitrag wurde am 18.02.2005 um 08:44 Uhr von Heron editiert.
Seitenanfang Seitenende
18.02.2005, 11:26
...neu hier

Themenstarter

Beiträge: 6
#3 Hallo Heron,

tausend Dank für deine Hilfe. Ich habe deine Anweisung exakt befolgt - wie kann man so etwas nur wissen, respekt - und wie es aussieht, scheint das Problem nun behoben zu sein.

Gefunden wurde von:
CWShredder: CWS.Hidden.DLL (oder meintest du diesen ellenlangen Skript?)
Bei Stinger weiß ich leider gar nicht was da ein Ergebnis sein könnte.

Der Hijackthis Logfile:

Logfile of HijackThis v1.99.0
Scan saved at 11:16:35, on 18.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ZipMagic\zm32nt.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program Files\hijackthis199[1]\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ZipMagic] C:\Programme\ZipMagic\zm32nt.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\RunServices: [ZipMagic] C:\Programme\ZipMagic\zm32nt.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Ereignisprotokoll-Überwachung - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: X10 Device Network Service - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

Vielleicht kannst du ihn nochmal ansehen. Ich hoffe es ist alles ok. Vielen Dank für deine Hilfe.

Grüße Tessa
Seitenanfang Seitenende
18.02.2005, 12:00
Member

Beiträge: 1132
#4 Hallo Tessa-Luisa,
(schöner Name übrigens. Dein echter?)

der Log sieht sauber aus. Das hast Du gut gemacht!

Ich nehme an, dass ihr das Programm "C:\Programme\ZipMagic\zm32nt.exe" kennt.
Wenn nicht, dann folgende Einträge mit HJT fixen:
O4 - HKLM\..\Run: [ZipMagic] C:\Programme\ZipMagic\zm32nt.exe
O4 - HKLM\..\RunServices: [ZipMagic] C:\Programme\ZipMagic\zm32nt.exe
PC neu starten und dann C:\Programme\ZipMagic\zm32nt.exe manuell löschen.

Zur Vorsicht würde ich aber noch raten, die nachfolgenden Aktionen auszuführen:

eScan Erkennungstool
http://www.mwti.net/antivirus/free_utilities.asp

erstelle einen Ordner c:\bases
das Programm in den Ordner c:\bases (wichtig!) entpacken und danach Update mit kavupd.exe durchführen (kann eine Weile dauern)

Starte den Rechner im abgesicherten Modus (F8 drücken beim Booten)
http://www.tu-berlin.de/www/software/virus/savemode.shtml
Das Programm mit "mwav.exe"(oder: "mwavscan.com") starten. Überall die Häkchen setzen bei:
All Files, Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder C:\WINDOWS, Include Subdirectories
=> und dann "Scan" klicken.
Nach abgeschlossenem Scan öffne das Log und suche (Bearbeiten => Suchen) nach Zeilen mit "infected". Jede einzelne Zeile, die Du findest, abkopieren und posten. Am Ende des Log steht die Zusammenfassung, die bitte auch posten.


RegCleaner
http://www.chip.de/downloads/c_downloads_8830516.html
Lade das Programm, wähle "Deutsch" als Sprache und säubere die Registry mit Tools => Registry säubern => alles durchführen => alle gefundenen Objekte markieren => markierte entfernen (Du kannst alles Angezeigte löschen, denn das Programm legt eine Sicherung an, die später bei evtl. Problemen wiederhergestellt werden kann)


ClearProg 1.4.1
http://www.clearprog.de/downloads.php
Surfspuren löschen. Alle Kategorien unter Internetexplorer und Windows im rechten Fenster ankreuzen und "Löschen" drücken.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Dieser Beitrag wurde am 18.02.2005 um 12:05 Uhr von Heron editiert.
Seitenanfang Seitenende
21.02.2005, 10:46
...neu hier

Themenstarter

Beiträge: 6
#5 Hallo Heron,

(der Name ist echt)
Danke für deine neuerlichen Tipps. Leider bin ich gerade ziemlich mit Arbeit überlastet und mein Chef hält weitere Vorsichtsmaßnahmen für unnötig "Es läuft ja gerade". Wenn er wieder unterwegs ist werde ich mich aber nochmal dran machen und dann berichten.

Bis dann und nochmal vielen Dank
Tessa
Seitenanfang Seitenende
21.02.2005, 12:44
Member

Beiträge: 1132
#6 Nur zu!
Und poste anschließend auch gleich noch einmal ein aktuelles HJT Log.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: