Trojan-Proxy.Win32.Xorpix.ab eingefangen

#0
29.06.2006, 18:34
...neu hier

Beiträge: 7
#1 Hallo zusammen,

ich habe mir laut Kaspersky Anti-Virus den Trojaner Xorpix zugelegt.
Nachdem ich (hoffentlich) schon alle Tipps aus dem Forum wie z.B. im abgesicherten Modus zu scannen und diverse Programme durchgejagt habe, bin ich nun am Ende.
Im Modus findet der Scanner keinen Virus mehr, im Normalbetrieb bekomme ich folgende Warnung:

winlogon.exe\artm_new.dll ist das Programm Win32.Xopix.ab

Ich habe nach den datfindbat Kopien noch eine HijackThis Kopie vom letzten Startvorgang angehängt.

Vielen Dank im vorraus, Mikel


Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 2CE7-EE61

Verzeichnis von C:\WINDOWS\system32

29.06.2006 17:29 6.693 OODBS.lor
28.06.2006 19:34 2.206 wpa.dbl
13.06.2006 15:58 53.770 perfc009.dat
13.06.2006 15:58 382.026 perfh009.dat
13.06.2006 15:58 64.848 perfc007.dat
13.06.2006 15:58 393.086 perfh007.dat
13.06.2006 15:58 902.476 PerfStringBackup.INI
08.06.2006 18:19 5.967.776 MRT.exe
05.06.2006 10:21 221.632 FNTCACHE.DAT
02.06.2006 13:39 579.888 LegitCheckControl.dll
02.06.2006 13:39 402.736 WgaLogon.dll
02.06.2006 13:39 286.000 WgaTray.exe
01.06.2006 20:47 163.840 jgdw400.dll
01.06.2006 20:47 27.648 jgpl400.dll
29.05.2006 17:32 1.496.576 shdocvw.dll
19.05.2006 17:06 3.076.096 mshtml.dll
18.05.2006 07:36 450.560 jscript.dll
14.05.2006 10:48 181.248 rasmans.dll
11.05.2006 10:58 104.448 xpsp3res.dll
10.05.2006 07:26 39.424 pngfilt.dll
10.05.2006 07:26 474.624 shlwapi.dll
10.05.2006 07:26 532.480 mstime.dll
10.05.2006 07:26 669.184 wininet.dll
10.05.2006 07:26 617.472 urlmon.dll
10.05.2006 07:26 448.512 mshtmled.dll
10.05.2006 07:26 146.432 msrating.dll
10.05.2006 07:26 251.904 iepeers.dll
10.05.2006 07:26 1.056.256 danim.dll
10.05.2006 07:26 55.808 extmgr.dll
10.05.2006 07:26 205.312 dxtrans.dll
10.05.2006 07:26 357.888 dxtmsft.dll
10.05.2006 07:26 15.872 jsproxy.dll
10.05.2006 07:26 96.768 inseng.dll
10.05.2006 07:26 1.022.976 browseui.dll
10.05.2006 07:26 152.064 cdfview.dll
29.04.2006 06:07 5.533.696 wmp.dll
22.04.2006 11:36 2.870 jupdate-1.5.0_01-b08.log
14.04.2006 18:29 23.392 nscompat.tlb
14.04.2006 18:29 16.832 amcompat.tlb

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 2CE7-EE61

Verzeichnis von C:\

29.06.2006 18:21 0 systemtemp.txt
29.06.2006 18:19 111.306 system32.txt
29.06.2006 17:29 519.491.584 hiberfil.sys
29.06.2006 17:29 524.288.000 pagefile.sys
29.06.2006 16:10 1.272 sys.txt
29.06.2006 16:09 5.118 system.txt
26.06.2006 17:08 210 boot.ini
20.05.2006 14:11 80 FilterLog.log
20.05.2006 13:36 176 RegistryChecker.log
03.04.2006 17:59 0 FileOut.Cns
03.04.2006 17:59 0 FileIn.Cns

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 2CE7-EE61

Verzeichnis von C:\WINDOWS

29.06.2006 17:30 0 0.log
29.06.2006 17:30 372.422 WindowsUpdate.log
29.06.2006 17:29 50 wiaservc.log
29.06.2006 17:29 216 wiadebug.log
29.06.2006 16:38 8.178.752 ntbtlog.txt
29.06.2006 16:23 231 system.ini
28.06.2006 16:31 0 Sti_Trace.log
28.06.2006 16:20 998 iis6.log
28.06.2006 16:20 1.242 ntdtcsetup.log
28.06.2006 16:20 2.045 comsetup.log
28.06.2006 16:20 2.359 tsoc.log
28.06.2006 16:20 342 ocmsn.log
28.06.2006 16:20 1.374 imsins.log
28.06.2006 16:20 27.240 KB916281.log
28.06.2006 16:20 2.916 ocgen.log
28.06.2006 16:20 303 msgsocm.log
28.06.2006 16:20 6.159 FaxSetup.log
28.06.2006 16:20 1.602 setupapi.log
28.06.2006 16:19 0 setupact.log
28.06.2006 16:19 0 setuperr.log
26.06.2006 16:36 1.998 ModemLog_Smart Link 56K Modem.txt
26.06.2006 16:25 116 NeroDigital.ini
04.04.2006 19:49 16.150 ModemLog_Motorola USB Modem.txt

Datentr„ger in Laufwerk C: ist System
Volumeseriennummer: 2CE7-EE61

Verzeichnis von C:\

29.06.2006 18:24 0 sys.txt
29.06.2006 18:22 5.118 system.txt
29.06.2006 18:21 1.272 systemtemp.txt
29.06.2006 18:19 111.306 system32.txt
29.06.2006 17:29 519.491.584 hiberfil.sys
29.06.2006 17:29 524.288.000 pagefile.sys
26.06.2006 17:08 210 boot.ini
20.05.2006 14:11 80 FilterLog.log
20.05.2006 13:36 176 RegistryChecker.log
03.04.2006 17:59 0 FileOut.Cns
03.04.2006 17:59 0 FileIn.Cns
04.03.2006 18:58 282 TO_InstallLog.txt
06.12.2005 21:53 0 DBS.TXT
06.12.2005 18:17 97.041 a.txt
17.10.2005 16:39 647 slmh.log
14.10.2005 18:17 0 IO.SYS
14.10.2005 18:17 0 MSDOS.SYS
22.03.2005 08:49 4.937 Lang.txt
21.03.2005 05:48 5.210 Install.LOG
04.08.2004 14:00 4.952 bootfont.bin
04.08.2004 14:00 47.564 NTDETECT.COM
04.08.2004 14:00 251.184 ntldr
22 Datei(en) 1.044.309.563 Bytes
0 Verzeichnis(se), 41.972.477.952 Bytes frei


Logfile of HijackThis v1.99.1
Scan saved at 18:34:59, on 29.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Dokumente und Einstellungen\M & M\Eigene Dateien\Michael\HijackThis.exe
C:\Programme\USB all-in-one game controller\SK_DevUpdate2A.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\no-ads.pac
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {73364D99-1240-4dff-B11A-67E448373048} - (no file)
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [OdTray.exe] "C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe"
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [HijackThis startup scan] C:\Dokumente und Einstellungen\M & M\Eigene Dateien\Michael\HijackThis.exe /startupscan
O4 - Startup: SK_DevUpdate2A.lnk = C:\Programme\USB all-in-one game controller\SK_DevUpdate2A.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128849291859
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136571769171
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\svch3.dll
O20 - Winlogon Notify: artm_newreg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\artm_new.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Odyssey Client (odClientService) - Funk Software, Inc. - C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Software Jukebox v2.0 Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Service\Software Jukebox v2.0 Service File.exe




Dieser Beitrag wurde am 29.06.2006 um 19:35 Uhr von Lager081 editiert.
Seitenanfang Seitenende
29.06.2006, 20:04
Moderator

Beiträge: 7805
#2 Lies dir bitte einmal den Artikel zu Avenger durch:
http://virus-protect.org/artikel/tools/avenger.html
Ich weiss, das die Datei artm_new.dll nicht einfach zu entfernen ist, aber ich hoffe, das Avenger es schaffen wird.

Also lade Avenger herunter und entpacke es in einen extra Ordner. Du musst beim manuellen Script folgendes eintragen:

Files to delete:
C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\artm_new.dll

Dann drueckst du auf Done und dann die Ampel. Lass den Rechner neu starten und poste ein neues Hijackthis log.

Ueberpruefe bitte auch noch diese Datei C:\WINDOWS\system32\svch3.dll bei Jotti und berichte, was gemeldet wird.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
30.06.2006, 20:00
...neu hier

Themenstarter

Beiträge: 7
#3 Hallo Ralf,

die Sache mit Avenger scheint geklappt zu haben.
KAV findet nichts mehr!

Allerdings finde ich die Datei C:\WINDOWS\system32\svch3.dll
nicht auf meinem Rechner, obwohl sie im Hijack noch auftaucht.


DANKE im vorraus, Mikel

Logfile of HijackThis v1.99.1
Scan saved at 19:24:26, on 30.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\M & M\Eigene Dateien\Michael\HijackThis.exe
C:\Programme\USB all-in-one game controller\SK_DevUpdate2A.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {73364D99-1240-4dff-B11A-67E448373048} - (no file)
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [OdTray.exe] "C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe"
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [HijackThis startup scan] C:\Dokumente und Einstellungen\M & M\Eigene Dateien\Michael\HijackThis.exe /startupscan
O4 - Startup: SK_DevUpdate2A.lnk = C:\Programme\USB all-in-one game controller\SK_DevUpdate2A.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128849291859
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136571769171
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\svch3.dll
O20 - Winlogon Notify: artm_newreg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\artm_new.dll (file missing)
O20 - Winlogon Notify: igfxcui - igfxdev.dll (file missing)
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Odyssey Client (odClientService) - Funk Software, Inc. - C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Software Jukebox v2.0 Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Service\Software Jukebox v2.0 Service File.exe
Dieser Beitrag wurde am 30.06.2006 um 20:06 Uhr von Lager081 editiert.
Seitenanfang Seitenende
30.06.2006, 20:35
Moderator

Beiträge: 7805
#4 Schoen. Dann fixe diesen Eintrag mit Hijackthis:

O20 - Winlogon Notify: artm_newreg - C:\Dokumente und Einstellungen\All Users\Dokumente\Settings\artm_new.dll (file missing)

Wegen der anderen Datei svch3.dll. Mache versteckte Dateien sichtbar:
http://people.freenet.de/rene-gad/invisible.html
und schaue, ob du die Datei nun finden kannst und teste sie bei Jotti
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
01.07.2006, 09:45
...neu hier

Themenstarter

Beiträge: 7
#5 Moin Ralf,

ich kann trotz deiner Anweisung die Datei svch3.dll mit dem Explorer nicht finden.
Habe es im a-Modus und unter allen Benutzern versucht.


Gruss, Mikel


Logfile of HijackThis v1.99.1
Scan saved at 09:46:35, on 01.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32Info.exe
C:\Dokumente und Einstellungen\M & M\Eigene Dateien\Michael\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {73364D99-1240-4dff-B11A-67E448373048} - (no file)
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [OdTray.exe] "C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe"
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128849291859
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136571769171
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\svch3.dll
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Odyssey Client (odClientService) - Funk Software, Inc. - C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Software Jukebox v2.0 Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Service\Software Jukebox v2.0 Service File.exe
Seitenanfang Seitenende
01.07.2006, 10:36
Moderator

Beiträge: 7805
#6 Bevor wir das verscuehn mit Avenger zu loeschen. Nutze bitte f-secures Blacklight.
http://www.f-secure.com/blacklight/try.shtml
Das Programm in einen extra Ordner herunterladen, es starten, Eula akzeptieren, scan druecken danach next druecken und exit. Nun findest du eine txt Datei im selben Ordner indem sich auch die Blacklight Datei befindet. Poste den Inhalt hier.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
01.07.2006, 11:13
...neu hier

Themenstarter

Beiträge: 7
#7 und hier die Blacklight Datei:

07/01/06 11:09:19 [Info]: BlackLight Engine 1.0.42 initialized
07/01/06 11:09:19 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/01/06 11:09:19 [Note]: 7019 4
07/01/06 11:09:19 [Note]: 7005 0
07/01/06 11:09:37 [Note]: 7006 0
07/01/06 11:09:37 [Error]: 6009 1
07/01/06 11:09:37 [Error]: 6009 0
07/01/06 11:09:38 [Note]: 7026 0
07/01/06 11:09:38 [Note]: 7026 0
07/01/06 11:09:38 [Note]: 7015 180
07/01/06 11:09:38 [Note]: 7015 5
07/01/06 11:09:38 [Note]: 7015 1856
07/01/06 11:09:38 [Note]: 7015 5
07/01/06 11:09:45 [Note]: FSRAW library version 1.7.1019
07/01/06 11:11:09 [Error]: 6023 5
07/01/06 11:12:55 [Note]: 7007 0


Gruss, Mikel
Seitenanfang Seitenende
01.07.2006, 11:28
Moderator

Beiträge: 7805
#8 Dann nehmen wir die Avenger Variante.Du kennst es ja noch von oben, doch nun nimmst du als Script folgendes:

Files to delete:
C:\WINDOWS\system32\svch3.dll


Nach dem Neustart shaue bitte in den Ordner, indem du die Avenger.exe kopiert hast und schicke die Backup.zip, die sich dort auch befinden sollte an virus@protecus.de

Danach bitte ein neues Hijackthis log
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
01.07.2006, 13:07
...neu hier

Themenstarter

Beiträge: 7
#9 Der Avenger hat die svch3.dll anscheinend auch nicht gefunden.


Gruss, Mikel



Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\ubwpcodq

*******************

Script file located at: \??\C:\WINDOWS\kilvqvyh.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



File C:\WINDOWS\system32\svch3.dll not found!
Deletion of file C:\WINDOWS\system32\svch3.dll failed!

Could not process line:
C:\WINDOWS\system32\svch3.dll
Status: 0xc0000034


Completed script processing.

*******************

Finished! Terminate.


Logfile of HijackThis v1.99.1
Scan saved at 13:04:21, on 01.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Dokumente und Einstellungen\M & M\Eigene Dateien\Michael\HijackThis.exe
C:\WINDOWS\system32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {73364D99-1240-4dff-B11A-67E448373048} - (no file)
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [OdTray.exe] "C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\OdTray.exe"
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [HijackThis startup scan] C:\Dokumente und Einstellungen\M & M\Eigene Dateien\Michael\HijackThis.exe /startupscan
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128849291859
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136571769171
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\svch3.dll
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Odyssey Client (odClientService) - Funk Software, Inc. - C:\Programme\Fujitsu Siemens Computers\Odyssey Client for Fujitsu Siemens Computers\odClientService.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Software Jukebox v2.0 Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Service\Software Jukebox v2.0 Service File.exe
Seitenanfang Seitenende
01.07.2006, 13:12
Moderator

Beiträge: 7805
#10 Ach sieh an. Hijackthis erzeugt bei "O20" Eintraege keine (file missing) Meldung bei fehlenden Dateien!;)

Also einfach den Eintrag heruasnehmen:
O2 - BHO: (no name) - {73364D99-1240-4dff-B11A-67E448373048} - (no file)
O4 - HKCU\..\Run: [HijackThis startup scan] C:\Dokumente und Einstellungen\M & M\Eigene Dateien\Michael\HijackThis.exe /startupscan
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1128849291859
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1136571769171
O16 - DPF: {A8482EAF-A1F3-4934-AE3F-56EB195A50BF} (DeskUpdate - Activex Control) - http://support.fujitsu-siemens.de/DeskUpdate/isapi/activex.cab
O20 - AppInit_DLLs: C:\WINDOWS\system32\svch3.dll

Du kannst deinen PC zur Kontrolle mit Cureit im abgesicherten Modus pruefen:
http://virus-protect.org/cureit.html

BTW: Du nutzt einen lokalen Proxyserver?
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:8080
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
01.07.2006, 13:26
...neu hier

Themenstarter

Beiträge: 7
#11 hört sich gut an,

werde gleich die angegebenen Dateien killen.

Da ich von Proxy & Co noch weniger als von dem Rest verstehe, bitte ich um einen kurzen Tipp.
Ich gehe über T-Online mit einem Rooter und WLAN ins Netz.
[b]ProxyServer = localhost:8080 gut oder böse?


Gruss, Mikel


Hey raman,

erst Angst machen und dann nicht Antworten!
Aber egal, der Vierusbefall scheint behoben zu sein.
Werde jetzt erst mal im PP-Cafe einen Kaffe für Euch ordern.

Vielen Dank für die tolle Hilfe.


Gruss, Mikel
Dieser Beitrag wurde am 01.07.2006 um 16:38 Uhr von Lager081 editiert.
Seitenanfang Seitenende
07.07.2006, 08:02
Moderator

Beiträge: 7805
#12 Achso, ganz vergessen. Werd es wach, wenn ich meine Kaffee bekommen habe!;)

Also der Eintrag ist nicht unbedingt boese, nur, so wie du ins Internet gehst, sonderbar. Du kannst den Eintrag fixen.

Wenn ich mal nuicht reagieren sollte, habe ich es vergessen, dann einfach mit einer PM aufmerksam machen.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende