Andauernt neue Werbefenster

#1 Hallo,
andauernt springt mein Firefox auf mit nem neuen Werbefenster, habe dummerweise ne unbekannte Datei geöffnet und seitdem nervt dieser Virus.

Hoffe ihr könnt helfen.

Logfile of HijackThis v1.99.1
Scan saved at 14:10:24, on 04.01.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe
C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
E:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
E:\Programme\Miranda_PE_0.2\miranda32.exe
E:\Filesharing\TorrentStorm\TorrentStorm.exe
E:\Filesharing\TorrentStorm\Downloader\Tor032\tor032.exe
E:\Filesharing\TorrentStorm\Downloader\Tor032\tor032.exe
E:\Downloads\stng259.exe
E:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\Downloads\hijackthis\HijackThis.exe


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KAVPersonal50] "e:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kav.exe" /minimize
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: eBay Startseite - {8B69DB2E-015D-4c4f-B97E-95EF5326BDA8} - http://adfarm.mediaplex.com/ad/ck/707-1170-5704-22?mpre=http://www.ebay.de (file missing)
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D730DE99-5A01-469A-BAB4-0D0DDE882BFE}: NameServer = 192.168.0.254
O20 - Winlogon Notify: docent0 - C:\WINDOWS\SYSTEM32\docent0.dll
O20 - Winlogon Notify: WebCheck - C:\WINDOWS\system32\h64mlgh1164.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: kavsvc - Kaspersky Lab - e:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro\kavsvc.exe
O23 - Service: MissDNS logs DNS cache miss hits (Network Monitor) - Unknown owner - e:\Programme\Network Monitor\MissDNS.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: LiveShare P2P Server (RoxLiveShare) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxLiveShare.exe
O23 - Service: RoxMediaDB - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxMediaDB.exe
O23 - Service: RoxUpnpRenderer (RoxUPnPRenderer) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCom\RoxUpnpRenderer.exe
O23 - Service: RoxUpnpServer - Sonic Solutions - E:\Programme\Roxio\WinOnCD 8\Digital Home\RoxUpnpServer.exe
O23 - Service: Roxio Hard Drive Watcher (RoxWatch) - Sonic Solutions - C:\Programme\Gemeinsame Dateien\Roxio Shared\SharedCOM8\RoxWatch.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - E:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

#2 sn4km4n

stelle den Cleaner genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

kopiere die 4 Textdateien (3 Monate vom Datum her)
http://virus-protect.org/datfindbat.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Übersichtshalber als Quote

Zitat

Datentr„ger in Laufwerk C: ist 160gb
Volumeseriennummer: B890-B8C3

Verzeichnis von C:\WINDOWS\system32

04.01.2006 15:19 39.291 nvapps.xml
04.01.2006 15:19 234.227 wwvadvd.dll
04.01.2006 15:18 43.068 OODBS.lor
04.01.2006 15:17 236.579 k8620ijoe8oc0.dll
04.01.2006 14:18 6 tickcnt.bin
04.01.2006 12:17 234.227 q8nuli5918.dll
04.01.2006 11:45 65 svcp.csv
04.01.2006 11:44 7.192 paytime.exe
03.01.2006 22:21 128 DssDllJZ.cam
03.01.2006 16:43 176.167 rmoc3260.dll
03.01.2006 16:43 5.632 pndx5032.dll
03.01.2006 16:43 6.656 pndx5016.dll
03.01.2006 16:43 278.528 pncrt.dll
31.12.2005 15:04 34.308 BASSMOD.dll
29.12.2005 13:11 2.206 wpa.dbl
29.12.2005 13:10 282.128 FNTCACHE.DAT
28.12.2005 21:45 664 d3d9caps.dat
28.12.2005 21:32 103 ROXECDC6Inst.log
26.12.2005 13:35 98.304 CmdLineExt.dll
09.12.2005 01:21 2.723.680 MRT.exe
03.12.2005 16:05 9.441 SUGS1.WML
03.12.2005 16:05 9.441 SUGS1.WMP
03.12.2005 12:28 2.828 KGyGaAvL.sys
22.11.2005 20:11 45 initdebug.nfo
20.11.2005 21:32 24 DKRNL.JAX
20.11.2005 19:02 3.778 qtplugin.log
18.11.2005 20:16 311.604 perfh009.dat
18.11.2005 20:16 39.992 perfc009.dat
18.11.2005 20:16 316.594 perfh007.dat
18.11.2005 20:16 48.156 perfc007.dat
18.11.2005 20:16 723.744 PerfStringBackup.INI
17.11.2005 22:19 0 USB
13.11.2005 11:47 44 msssc.dll
12.11.2005 22:57 23.392 nscompat.tlb
12.11.2005 22:57 16.832 amcompat.tlb
12.11.2005 18:49 2.957 jupdate-1.5.0_01-b08.log
07.11.2005 21:56 41 Filzip.ini
07.11.2005 20:39 6.785 HPunins.txt
07.11.2005 20:30 200.704 hpzcoi04.dll
05.11.2005 21:22 5.618 jupdate-1.5.0_05-b05.log
05.11.2005 15:53 261 $winnt$.inf
05.11.2005 15:52 2.951 CONFIG.NT
05.11.2005 15:51 488 WindowsLogon.manifest
05.11.2005 15:51 488 logonui.exe.manifest
05.11.2005 15:51 749 sapi.cpl.manifest
05.11.2005 15:51 749 ncpa.cpl.manifest
05.11.2005 15:51 749 nwc.cpl.manifest
05.11.2005 15:51 749 cdplayer.exe.manifest
05.11.2005 15:51 749 wuaucpl.cpl.manifest
05.11.2005 15:49 21.740 emptyregdb.dat
05.11.2005 15:45 0 h323log.txt

Zitat

Datentr„ger in Laufwerk C: ist 160gb
Volumeseriennummer: B890-B8C3

Verzeichnis von C:\

04.01.2006 15:28 0 systemtemp.txt
04.01.2006 15:25 113.490 system32.txt
04.01.2006 12:14 212 boot.ini
04.01.2006 11:47 578.560 Installer.exe
04.01.2006 11:44 3.040 secure32.html
31.12.2005 14:50 222 freetvdebug.txt
11.12.2005 22:11 2.116 fnGetLangString.txt
30.11.2005 19:46 1.295 Daten.txt
20.11.2005 21:39 493 Boot.BAK
20.11.2005 21:20 8.192 BOOTSECT.BAK
20.11.2005 20:15 456 idwlog.cookie
05.11.2005 15:52 0 CONFIG.SYS
05.11.2005 15:52 0 IO.SYS
05.11.2005 15:52 0 MSDOS.SYS
05.11.2005 15:52 0 AUTOEXEC.BAT

Zitat

Datentr„ger in Laufwerk C: ist 160gb
Volumeseriennummer: B890-B8C3

Verzeichnis von C:\WINDOWS

04.01.2006 15:25 41 Filzip.ini
04.01.2006 15:25 1.610.754 WindowsUpdate.log
04.01.2006 15:20 567 KB905915.log
04.01.2006 15:19 0 0.log
04.01.2006 15:18 159 wiadebug.log
04.01.2006 15:18 50 wiaservc.log
04.01.2006 15:18 2.048 bootstat.dat
04.01.2006 15:17 32.536 SchedLgU.Txt
04.01.2006 14:08 3.454 setupapi.log
04.01.2006 12:24 10 popcinfo.dat
04.01.2006 12:16 44 WININIT.INI
04.01.2006 12:14 624 win.ini
04.01.2006 12:14 827 system.ini
04.01.2006 11:47 38 drsmartload.dat
04.01.2006 11:46 0 timessquare1.dat
04.01.2006 11:46 0 drsmartloadb1.dat
04.01.2006 11:46 40 teller2.chk
04.01.2006 11:45 69.120 tool1.exe
04.01.2006 11:44 1.999 desktop.html
04.01.2006 11:44 3.040 secure32.html
04.01.2006 11:44 0 uniq
03.01.2006 17:45 1.989 uninstall_nmon.vbs
03.01.2006 16:44 25 cdplayer.ini
02.01.2006 21:36 1.409 QTFont.for
02.01.2006 21:36 54.156 QTFont.qfn
28.12.2005 21:32 316.640 WMSysPr9.prx
26.12.2005 22:48 116 NeroDigital.ini
24.12.2005 16:38 8.692 mozver.dat
01.12.2005 12:25 107.132 UninstallFirefox.exe
26.11.2005 19:35 268 game.ini
22.11.2005 18:19 4.335 ODBCINST.INI
22.11.2005 18:19 660 ODBC.INI
20.11.2005 21:32 74 koo.dat
20.11.2005 20:17 1.887 diagerr.xml
20.11.2005 20:17 4.756 setuplog.xml
20.11.2005 20:11 2.199 diagwrn.xml
18.11.2005 20:21 34 hpfsched.ini
18.11.2005 17:35 1.069.448 setupapi.log.0.old
17.11.2005 14:08 431 Swish.INI
15.11.2005 21:49 2.359.350 Firefox Wallpaper.bmp
13.11.2005 11:46 3.269 Ascd_tmp.ini
05.11.2005 17:19 59 vbaddin.ini
05.11.2005 16:29 100.482 UninstallThunderbird.exe
05.11.2005 16:11 0 nsreg.dat
05.11.2005 15:54 8.192 REGLOCS.OLD
05.11.2005 15:52 0 control.ini
05.11.2005 15:51 749 WindowsShell.Manifest
05.11.2005 15:49 36 vb.ini
05.11.2005 15:10 0 Sti_Trace.log

Zitat

Datentr„ger in Laufwerk C: ist 160gb
Volumeseriennummer: B890-B8C3

Verzeichnis von C:\

04.01.2006 15:29 0 sys.txt
04.01.2006 15:29 4.822 system.txt
04.01.2006 15:28 1.138 systemtemp.txt
04.01.2006 15:25 113.490 system32.txt
04.01.2006 12:14 212 boot.ini
04.01.2006 11:47 578.560 Installer.exe
04.01.2006 11:44 3.040 secure32.html
31.12.2005 14:50 222 freetvdebug.txt
11.12.2005 22:11 2.116 fnGetLangString.txt
30.11.2005 19:46 1.295 Daten.txt
20.11.2005 21:39 493 Boot.BAK
20.11.2005 21:20 8.192 BOOTSECT.BAK
20.11.2005 20:15 456 idwlog.cookie
05.11.2005 15:52 0 AUTOEXEC.BAT
05.11.2005 15:52 0 CONFIG.SYS
05.11.2005 15:52 0 IO.SYS
05.11.2005 15:52 0 MSDOS.SYS

#4 sn4km4n

Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum
http://www.virustotal.com/flash/index_en.html

C:\WINDOWS\system32\msssc.dll
E:\Downloads\stng259.exe (Virus Remover ????? )
-----------------------------------------------------------------------

Gehe in die Registry
Start-->Ausfuehren--> regedit

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\
"Wallpaper" = "C:\WINDOWS\desktop.html" <--loeschen

öffne das HijackThis-- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked"

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

O20 - Winlogon Notify: docent0 - C:\WINDOWS\SYSTEM32\docent0.dll
O20 - Winlogon Notify: WebCheck - C:\WINDOWS\system32\h64mlgh1164.dll

-------------------------------------------------------------
KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot / Process all in List )--> anhaken
reinkopieren:
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"

C:\WINDOWS\system32\nvapps.xml
C:\WINDOWS\system32\wwvadvd.dll
C:\WINDOWS\system32\OODBS.lor
C:\WINDOWS\system32\k8620ijoe8oc0.dll
C:\WINDOWS\system32\h64mlgh1164.dll
C:\WINDOWS\system32\tickcnt.bin
C:\WINDOWS\system32\q8nuli5918.dll
C:\WINDOWS\SYSTEM32\docent0.dll
C:\WINDOWS\system32\svcp.csv
C:\WINDOWS\system32\paytime.exe
C:\WINDOWS\system32\guard.tmp
C:\Installer.exe
C:\secure32.html
C:\WINDOWS\popcinfo.dat
C:\WINDOWS\drsmartload.dat
C:\WINDOWS\timessquare1.dat
C:\WINDOWS\drsmartloadb1.dat
C:\WINDOWS\teller2.chk
C:\WINDOWS\tool1.exe
C:\WINDOWS\desktop.html
C:\WINDOWS\secure32.html
C:\WINDOWS\uniq

PC neustarten

L2MRemover.zip - Look2Me Remover
http://www.simplytech.it/L2MRemover/index_de.htm

Entpacke das Programm mit einem Ziptool
in den neu zu erstellenden Ordner C:\Programme\Look2meRemover.

1. Klicke auf die L2MRemover.exe, um das Programm zu starten.
2. Klicke auf "About" "Check for updates..." im Menu des Programms und aktualisiere das Programm.
3. Drücke auf den "Scan" Button und lasse dein gesamtes System, Speicher und Registry scannen.

(Wenn es eine bekannte Variante der Malware findet, wird es sie ermitteln und sie unbrauchbar machen, indem es den ST-Code während des Scannens in die Malware injiziert. Dann wird es die Registry Schlüssel auflisten, die die Malware bei jedem Systemstart neu laden.)

4. Betätige den "Delete Keys" Button, um die Registry von den Schlüsseln zu bereinigen, die dafür sorgen, dass die Malware sich mit jedem Neustart wieder neu auflädt.

(Wenn dir das Entfernen der Registerschlüssel zu riskant ist, kannst du ein Häkchen setzen bei "Save before delete", damit ein Backuo-File *.reg gespeichert werden kann, für den Fall, dass du die gelöschten Schlüssel neu erstellen möchtest.)

Hinweis: Der "Look2me Remover" entfernt nur die Variationen der Look2Me Malware, die seit November 2005 im Umlauf sind.

5. Speichere das Logfile des Removers.

----------------------------------------------------------------------
Hoster.zip -> anwenden
http://www.funkytoad.com/download/hoster.zip
Press 'Restore Original Hosts' and press 'OK' Exit Program.


L2mfix
http://virus-protect.org/l2mfix.html
arbeite Option 2 ab, nach dem Neustarte, warte, lasse scannen, dann poste den scanreport der erscheint

---------------------------------------------------------------------

deaktiviere die Systemwiederherstellung (XP) (dann aktiviere sie wieder)
http://virus-protect.org/systemwiederherstellung.html

scanne mit Kaspersky und etrust --> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html

scanne mit Panda --> loesche dann manuell, was gefunden wird
http://virus-protect.org/onlinescan.html
__________
MfG Sabina

rund um die PC-Sicherheit