Malware birdihuy32.dll

#1 Hallo Leute,

Also ich habe folgendes Problem. Mein Desktop spielt total verrückt. Ich kann kein Desktopbild mehr festlegen stattdessen blinkt der Desktop abwechselnd in grau und weiß auf, was auf Dauer ziemlich nervig ist.

Wie es zu dem Problem gekommen ist, weiß ich nicht, weil mein Bruder als das Problem auftrat am PC war.

Naja wie dem auch sei, ich hab dann mal einige Programme durchlaufen lassen Ad-Aware, AntiVir, Spybot und Hjackthis mit letzterem konnte ich meine Startseite wieder ändern, welche wohl auch durch Trojaner/Viren/was auch immer verändert worden war.

Naja aber das Desktop Problem ist bestehen geblieben.

Doch ich konnte in etwa die Uhrzeit herausfinden wann der Überfall der bösen Trojaner/Viren wohl passiert sein muss und so hab ich halt mal mit Suchen bissel rumgeschaut und bin auf die Datei birdihuy.dll aufmerksam geworden. Dann hab ich mal bei google geschaut und gleich gesehen das es nen Trojaner ist. Hab dann auch ne Anleitung gefunden das ich was in der REGEDIT ändern muss und dies befolgt, allerdings konnte ich die Datei dann nicht löschen (das war laut Anleitung dann der nächste Schritt.)

Es kommt immer die Fehlermeldung das die Datei entweder schreibgeschützt ist oder zur Zeit verwendet wird. Hab dann auch mal im Task-Manager bei den Prozessen geschaut aber nichts auffälliges entdeckt (muss gestehen das ich mich da auch nicht allzu gut auskenne)...

Hier mal noch ein aktueller HjackThis Log:

Zitat

Logfile of HijackThis v1.99.1
Scan saved at 19:32:38, on 27.11.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Messenger\msmsgs.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Adobe\Acrobat 6.0\Reader\AcroRd32.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Trillian\trillian.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
D:\downloads\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.inselkampf.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [iexplore.exe] C:\Programme\Internet Explorer\iexplore.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [MSControl31] winnsyst.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [FHPage] C:\WINDOWS\system32\shdochp.exe home
O4 - HKLM\..\RunServices: [MSControl31] winnsyst.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Windows installer] msupdate32.exe -run C:\winstall.exe
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O10 - Broken Internet access because of LSP provider 'xfire_lsp_10650.dll' missing
O20 - Winlogon Notify: sksdll - sksdll.dll (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe

In Hoffnung auf baldige Hilfe und mit freundlichen Grüßen:

Argh

#2 das loesen wir schnell

wende cleanUp an
http://virus-protect.org/cleanup.html

kopiere die 4 Textdateien
http://virus-protect.org/datfindbat.html

-------------
Info birdihuy
http://virus-protect.org/artikel/spyware/birdihuy.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 sodele ich hoffe mal ich hab das jetzt richtig verstanden. danke auf jeden fall schonmal für die hilfe.

Zitat

Verzeichnis von C:\WINDOWS\system32

26.11.2005 11:10 11.776 shdochp.dll
21.11.2005 14:22 2.184 wpa.dbl
10.11.2005 16:08 43.520 CmdLineExt03.dll
04.11.2005 16:27 23.304 GWFSPidGen.DLL
30.10.2005 10:00 52.764 perfc009.dat
30.10.2005 10:00 380.350 perfh009.dat
30.10.2005 10:00 391.000 perfh007.dat
30.10.2005 10:00 63.580 perfc007.dat
30.10.2005 10:00 897.954 PerfStringBackup.INI
15.09.2005 18:30 188.200 FNTCACHE.DAT
08.09.2005 20:21 55.913 winacpi.dll
08.09.2005 16:14 21.840 SIntfNT.dll
08.09.2005 16:14 17.212 SIntf32.dll
08.09.2005 16:14 12.067 SIntf16.dll
08.09.2005 16:00 21 kerberos.bin
08.09.2005 16:00 5.120 vbn.dll
25.08.2005 01:10 16.832 amcompat.tlb
25.08.2005 01:10 23.392 nscompat.tlb

Zitat

Verzeichnis von C:\DOKUME~1\Heuer\LOKALE~1\Temp

Zitat

Verzeichnis von C:\WINDOWS

27.11.2005 19:44 1.125 winamp.ini
27.11.2005 13:39 619.361 setupapi.log
27.11.2005 11:41 0 0.log
27.11.2005 11:41 157 wiadebug.log
27.11.2005 11:41 50 wiaservc.log
27.11.2005 11:40 2.048 bootstat.dat
26.11.2005 19:20 32.522 SchedLgU.Txt
21.11.2005 17:29 8.167 svcpack.log
01.11.2005 22:33 24.562 Windows Update.log
01.11.2005 11:59 96.204 Directx.log
16.10.2005 00:56 43.015 wmsetup.log
08.09.2005 22:16 223 RomeTW.ini
05.09.2005 10:20 187 RELATION.INI
25.08.2005 01:20 2.174 WMEncoder.log
25.08.2005 01:20 316.640 WMSysPr9.prx
25.08.2005 01:10 449 wmsetup10.log
25.08.2005 01:10 625 win.ini

Zitat

Verzeichnis von C:\

27.11.2005 23:28 0 sys.txt
27.11.2005 23:27 5.049 system.txt
27.11.2005 23:26 127 systemtemp.txt
27.11.2005 23:25 96.301 system32.txt
27.11.2005 11:40 1.610.612.736 pagefile.sys
15.09.2005 18:54 696.320 StubInstaller.exe

leider weiß ich nicht wie es jetzt weiter gehen soll. hab mir die infoseite mal angeschaut, aber irgendwie finde ich die dateien die dort rot markiert sind gar nicht. oO
naja hab mit Killbox jetzt mal die Datei birdihuy32.dll direkt gelöscht, aber irgendwie hat das nichts gebracht.

war das vielleicht sogar ein fehler?
achja die Datei birdihuy32.dll hab ich übrigens zuvor schon mal ausgeschnitten aus dem Windows Ordner und in den AntiVir "Infected" Ordner eingefügt, damit ich sie leichter wiederfinde, kA ob das jetzt was geändert hat. :-/

#4 gehe in die Registry

Start-->Ausfuehren--> regedit

bearbeiten--> suchen--> winnsyst.exe / MSControl31

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
[MSControl31] winnsyst.exe <--loeschen

HKCU\Software\Microsoft\OLE
[MSControl31] winnsyst.exe <--loeschen

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O4 - HKLM\..\Run: [MSControl31] winnsyst.exe
O4 - HKLM\..\Run: [FHPage] C:\WINDOWS\system32\shdochp.exe home
O4 - HKLM\..\RunServices: [MSControl31] winnsyst.exe
O4 - HKCU\..\Run: [Windows installer] msupdate32.exe -run C:\winstall.exe
O20 - Winlogon Notify: sksdll - sksdll.dll (file missing)

PC neustarten

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Delete File on Reboot -- anhaken
reinkopieren:
...
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\shdochp.exe
C:\WINDOWS\system32\shdochp.dll
C:\winstall.exe
C:\StubInstaller.exe
C:\WINDOWS\system32\winnsyst.exe
C:\WINDOWS\system32\msupdate32.exe

PC neustarten

scanne und poste den scanbericht
http://virus-protect.org/cureit.html

Registry Search Tool
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren

Doppelklick:regsrch.vbs
reinkopieren:

sks2drvr

Press 'OK'

warten, bis die Suche beendet ist. (Ergebnis bitte posten)

Zitat

attempts to remove network shares every 2 minutes.
W32/Rbot-APF attempts to terminate processes related to anti-virus and security programs.
http://www.sophos.com/virusinfo/analyses/w32rbotapf.html

Troj/Haxdoor-AN
http://www.sophos.de/virusinfo/analyses/trojhaxdooran.html
C:\WINDOWS\system32\sksdll.dll
C:\WINDOWS\system32\sks2drvr.sys
HKLM\SYSTEM\CurrentControlSet\Services\sks2drvr\

Troj/Haxdoor-AN kann in folgendem Speicherort einen Registrierungseintrag einfügen, um die Windows Firewall zu umgehen:

HKLM\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\
FirewallPolicy\StandardProfile\AuthorizedApplications\List\

Info: shdochop.dll
http://virus-protect.org/artikel/spyware/shdochop.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 hier mein Bericht vom Scan mit Dr.Web:

http://img473.imageshack.us/my.php?image=scandrweb1bh.gif

habs einfach mit paint gespeichert, kA wie ich das sonst hier reinkopieren sollte. ^^

achja bei dem scan mit hjack und bei killbox hab ich einige dateien gar nicht gefunden, ich hoffe mal das macht nichts. oO

naja werd dann mal weiter machen...

so das letzte prog hat nun auch nix gefunden...

joa irgendwie komisch, wie soll es jetzt weiter gehen???

das problem besteht weiterhin, hab das jetzt auch mal ein wenig genauer analyisiert.

also der desktop ist weiß und sobald ich die maus über den desktop bewege fängt er an grau zu blinken. desweiteren kann ich keine neuen ordner auf dem desktop erstellen...

#6 smitRem TOOL (Entfernungstool)
http://noahdfear.geekstogo.com/
öffne smitRem folder,Doppelklick: RunThis.bat
warte, bis der Scan beendet ist (der Bildschirm wird blau werden. das ist normal)
suche smitfiles.txt und poste die Textdatei in den Thread

reg-Datei
rechtsklick--> Ziel speichern unter--> waehle desktop

http://www.bleepingcomputer.com/files/reg/smitfraud.reg
dann erscheint eine smitfraud.reg auf dem Desktop
Computer in den abgesicherten Modus neustarten (F8 beim Starten drücken). Die Datei "smitfraud.reg" auf dem Desktop doppelklicken und mit "ja" bestätigen, damit die reg*-Datei der Registry beigefügt wird und sofort den PC neustarten.

Lade diese zip-Datei, entpacke
http://users.telenet.be/bluepatchy/miekiemoes/tools/Psguardregfix.zip

ClickThis.bat (klicken)--> der Editor oeffnet sich (kopiere alles ab und in den Thread vom Sicherheitsforum)
psguardrem.reg (klicken) und der Registry beifuegen

scanne mit ewido und poste den scanreport
http://virus-protect.org/ewido.html

--------------

Registry Search Tool
http://www.billsway.com/vbspage/vbsfiles/RegSrch.zip
eventuelle Meldung vom Virenscanner --- > warnmeldung:bösartiges skript entdeckt --> ignorieren

Doppelklick:regsrch.vbs
reinkopieren:

sks2drvr

Press 'OK'

warten, bis die Suche beendet ist. (Ergebnis bitte posten)
__________
MfG Sabina

rund um die PC-Sicherheit

#7 juhu, weiß zwar jetzt nicht wieso aber das Problem ist jetzt "schon" nach dem Scan mit smitRem weggegangen. Zumindest sieht mein Desktop wieder normal aus, bzw ich kann ihn verändern und wieder neue Ordner erstellen.
Irgendwie wurden die Festplatten "bereinigt" bzw komprimiert und möglicherweise wurden die schädlichen Dateien dabei ja entsorgt.

Wahrscheinlich hab ich immer noch Trojaner und Viren drauf, aber so lange die mich nicht stören ist mir das eigentlich relativ egal.

Naja ich danke dir auf jeden Fall vielmals für deine schnelle und profesionelle Hilfe.

Achja was mich jetzt mal noch interessieren würde, bist du m oder w? ^^

edit:

argh ich hab mich wohl zu früh gefreut.

ich wollte jetzt gerade mal den desktophintergrund ändern und nun ist das problem wieder aufgetaucht.

AAAAARRRRRRGGGGHHHH das nervt jetzt aber. -.-

naja ich glaub ich meld mich morgen nochmal, hab heute keine Zeit mehr mich drum zu kümmern...

#8 arbeite alles ab, was ich geschrieben habe, dann sehen wir weiter
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Unter Systemsteuerung-->Anzeige-->Desktop-->Desktop anpassen-->Web den evtl. vorhandenen Eintrag Security Info entfernen.
__________
MfG Argus

#10 der pC ist noch nicht sauber, deshalb wird es wahrscheinlich noch nicht klappen....
ich muss mir dann die registry noch mal ansehen...mit Silentrunner
__________
MfG Sabina

rund um die PC-Sicherheit