Malwareproblem -> dauernde Popups + sich selbst schließende Programme

#1 Hi

Habe hier einen PC an dem sich kaum noch arbeiten läst da ständig neue popups aufpoppen, der taskmanager sich sofort nach dem öffnen schließt und der vorhandene virenscanner (AVG Free Edition) nicht damit zurecht kommt.

Hier die Logs:

Hijackthis:
Logfile of HijackThis v1.99.1
Scan saved at 18:01:30, on 10.08.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\rundll32.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\Thread.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe
C:\WINNT\system32\VTtrayp.exe
C:\WINNT\system32\VTTimer.exe
C:\Programme\VIAudioi\SBADeck\ADeck.exe
C:\Programme\1&1 Programme\cFos\cFosDNT.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINNT\wnprgs32.exe
C:\Programme\Goodees\Goodees.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
C:\WINNT\system32\internat.exe
C:\DOKUME~1\GRAZIE~1\EIGENE~1\MCROSO~1\HKDSK~1.EXE
C:\DOKUME~1\GRAZIE~1\EIGENE~1\YSTEM3~1\explorer.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Azureus\Azureus.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Graziella\Desktop\Nicht Anfassen !!!\HijackThis(2).exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - Default URLSearchHook is missing
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [cFosDNT] C:\Programme\1&1 Programme\cFos\cFosDNT.exe
O4 - HKLM\..\Run: [Application Layer Gateway Service] C:\WINNT\System32\algs.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [keyboard] C:\\kybrdff_8.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [newname] C:\\nwnmff_8.exe
O4 - HKLM\..\Run: [Windows Extensions for Win32] wnprgs32.exe
O4 - HKLM\..\Run: [Goodees] C:\Programme\Goodees\Goodees.exe -h
O4 - HKLM\..\Run: [oyzb0fc2] RUNDLL32.EXE w00164ef.dll,n 002b0fc00000000a00164ef
O4 - HKLM\..\Run: [nwvhuybn] C:\asdwycpk.bat
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKLM\..\RunServices: [Windows Extensions for Win32] wnprgs32.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Ljgfkqa] C:\DOKUME~1\GRAZIE~1\EIGENE~1\MCROSO~1\HKDSK~1.EXE
O4 - HKCU\..\Run: [DNS] C:\Programme\Gemeinsame Dateien\mc-110-12-0000228.exe
O4 - HKCU\..\Run: [JetAudio Services] JetAudio.exe
O4 - HKCU\..\Run: [Amia] "C:\DOKUME~1\GRAZIE~1\EIGENE~1\YSTEM3~1\explorer.exe" -vt ndrv
O4 - HKCU\..\Run: [Windows Extensions for Win32] wnprgs32.exe
O4 - HKCU\..\RunServices: [JetAudio Services] JetAudio.exe
O4 - HKCU\..\RunServices: [Windows Extensions for Win32] wnprgs32.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\system32\msjava.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1154888129015
O20 - AppInit_DLLs: C:\WINNT\system32\dllhost.dll C:\WINNT\system32\wuauclt.dll
O20 - Winlogon Notify: DIFx - C:\WINNT\system32\khdit.dll
O20 - Winlogon Notify: Extensions - C:\WINNT\system32\d80mlid1180.dll (file missing)
O20 - Winlogon Notify: StillImage - C:\WINNT\system32\gp4ol3h31.dll (file missing)
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

datfind:

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: B45F-B12E

Verzeichnis von C:\WINNT\system32

10.08.2006 17:15 235.953 ahicap32.dll
08.08.2006 21:50 16.832 amcompat.tlb
08.08.2006 21:50 23.392 nscompat.tlb
08.08.2006 20:28 1.167 oyzb0fc2.sys
07.08.2006 19:58 2 wnsapiit.exe
07.08.2006 11:13 235.953 khdit.dll
07.08.2006 11:04 235.953 d4j0le1m1h.dll
07.08.2006 10:54 61.952 oyzb0fc2.dll
07.08.2006 10:54 235.953 sgmatmsg.dll
07.08.2006 10:49 235.953 k6js0g17e6.dll
07.08.2006 10:18 235.953 sqrdx86.dll
07.08.2006 09:45 235.953 iFssam.dll
25.07.2006 19:25 139.264 ebmdnm.dll
07.07.2006 14:19 81.920 dllhost.dll
07.07.2006 14:19 16.384 Perflib_Perfdata_238.dat
06.07.2006 18:21 6.757.792 MRT.exe
29.06.2006 21:48 0 atmtd.dll.tmp
28.06.2006 00:41 7.406 Bingo.ico
19.05.2006 19:27 15.072 spmsg.dll
19.05.2006 11:18 90.384 DHCPCSVC.DLL
19.05.2006 11:18 68.880 IPHLPAPI.DLL
19.05.2006 11:18 136.976 dnsapi.dll

zwischenfrage: die dateien gehen bis 1999 zurück, obwohl der rechner keine 6 monate alt ist. gibts dafür irgendeine erklärung ?

datfind läst sich dann nicht weitermachen da es sich selbstständig schließt. die logs von temp.txt, windows.txt und c.txt lassen sich daher nicht aufrufen.
das programm combofix funktioniert auch nicht da es sich selbstständig nach dem aufrufen schließt.

das cleanup log poste ich nach einem rechner neustart.

thx schonmal für die hilfe

Vic

edit (Sabina)

#2 TB-Victory

poste bitte von datfindbat alle 4 logs (bis Maerz 2006)

Zitat

Kopiere diese 4 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

das vernuenftigste waere allerdings, sofort zu formatieren, siehe oben, alles was rot ist....sind Viren Backdoors, Wuermer....
__________
MfG Sabina

rund um die PC-Sicherheit

#3 hi Sabina

ich kann leider nicht alle 4 logs posten, da datfind direkt nach dem starten sich selbst beendet. er zeigt noch das erste log >

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: B45F-B12E

Verzeichnis von C:\WINNT\system32

11.08.2006 17:48 236.778 LXADPERF.DLL
11.08.2006 17:48 233.602 lv0s09d7e.dll
11.08.2006 17:30 236.778 j6n2lg5o16.dll
11.08.2006 09:10 16.384 Perflib_Perfdata_354.dat
10.08.2006 19:27 236.778 enl6l13s1.dll
10.08.2006 19:27 4.212 zllictbl.dat
10.08.2006 19:25 53.961 vsconfig.xml
10.08.2006 18:59 235.953 i2lo0c33ef.dll
08.08.2006 21:50 16.832 amcompat.tlb
08.08.2006 21:50 23.392 nscompat.tlb
08.08.2006 20:28 1.167 oyzb0fc2.sys
07.08.2006 19:58 2 wnsapiit.exe
07.08.2006 11:04 235.953 d4j0le1m1h.dll
07.08.2006 10:54 61.952 oyzb0fc2.dll
07.08.2006 10:54 235.953 sgmatmsg.dll
07.08.2006 10:49 235.953 k6js0g17e6.dll
07.08.2006 10:18 235.953 sqrdx86.dll
07.08.2006 09:45 235.953 iFssam.dll
25.07.2006 19:25 139.264 ebmdnm.dll
09.07.2006 13:42 42.920 vsutil_loc0407.dll
09.07.2006 13:42 392.824 vsdatant.sys
09.07.2006 13:42 71.672 zlcommdb.dll
09.07.2006 13:42 83.960 zlcomm.dll
09.07.2006 13:42 100.344 vsxml.dll
09.07.2006 13:42 59.384 vswmi.dll
09.07.2006 13:42 71.672 vsregexp.dll
09.07.2006 13:42 440.312 vsutil.dll
09.07.2006 13:42 157.688 vsinit.dll
09.07.2006 13:42 104.440 vsmonapi.dll
09.07.2006 13:42 268.280 vspubapi.dll
09.07.2006 13:42 83.960 vsdata.dll
09.07.2006 13:41 796.584 libeay32_0.9.6l.dll
07.07.2006 14:19 81.920 dllhost.dll
07.07.2006 14:19 16.384 Perflib_Perfdata_238.dat
06.07.2006 18:21 6.757.792 MRT.exe
28.06.2006 00:41 7.406 Bingo.ico
02.06.2006 11:04 57.384 avsda.dll
19.05.2006 19:27 15.072 spmsg.dll
19.05.2006 11:18 90.384 DHCPCSVC.DLL
19.05.2006 11:18 136.976 dnsapi.dll
19.05.2006 11:18 68.880 IPHLPAPI.DLL
27.03.2006 19:44 0 TFTP1404
27.03.2006 19:44 0 TFTP1528
27.03.2006 18:44 6 reboot.txt
27.03.2006 17:51 47.616 TFTP1128
27.03.2006 17:51 47.616 TFTP932
27.03.2006 17:51 0 TFTP868
27.03.2006 17:46 0 TFTP1356
27.03.2006 17:42 0 TFTP560
27.03.2006 17:42 0 TFTP876
27.03.2006 17:37 0 TFTP1472
27.03.2006 17:33 0 TFTP1236
27.03.2006 17:28 136.704 TFTP320
27.03.2006 17:26 499.712 msvcp71.dll
27.03.2006 17:26 348.160 msvcr71.dll
27.03.2006 16:54 2.171 spupdsvc.log
27.03.2006 16:54 312 spupdw2k.log
27.03.2006 16:41 76.760 FNTCACHE.DAT
26.03.2006 23:16 0 TFTP1280
26.03.2006 23:12 0 TFTP652
26.03.2006 22:41 0 TFTP836
26.03.2006 22:39 301 $winnt$.inf
26.03.2006 22:28 30 iisperf.txt
26.03.2006 22:21 0 TFTP1964
26.03.2006 22:16 69 i
26.03.2006 22:06 3.223 jupdate-1.4.2_04-b05.log
26.03.2006 22:05 49.152 cdrtc.dll
26.03.2006 22:05 45.056 cdral.dll
26.03.2006 22:02 0 TFTP928
26.03.2006 21:48 2.951 CONFIG.NT
26.03.2006 21:47 300.378 perfh009.dat
26.03.2006 21:47 289.156 perfh007.dat
26.03.2006 21:47 46.232 perfc007.dat
26.03.2006 21:47 38.036 perfc009.dat
26.03.2006 21:47 663.264 PerfStringBackup.INI
26.03.2006 21:47 21.817 folder.htt
26.03.2006 21:47 271 desktop.ini
26.03.2006 21:47 525 mapisvc.inf
26.03.2006 21:47 15.076 emptyregdb.dat

aber datfind ist an dieser stelle ja schon geschlossen so das ich nicht die anderen 3 logs abrufen kann.
das mit den sich selbst schließenden programmen passiert auch beim taskplaner.
kann daher die 3 fehlenden logs nicht posten da ich ja selbst nicht ran komme.
mit einer neuformatierung ist das nicht ganz so leicht, da das nicht mein rechner ist. würde nur gehen wenn es keinen anderen weg mehr gibt. aber vllt weißt du eine möglichkeit entweder an die fehlenden logs zu kommen oder auch ohne diese logs das system sauber zu bekommen.

Vic

#4 TB-Victory

seit Maerz 2006 haben Fremde Zugriff auf deinen Rechner, mit Hilfe anonymer FTP-Server, sie laden alles runter, was sie wollen, kennen alle Passworte usw.
Hast du nie gemerkt, dass der Rechner langsam ist ??? Alles rote oben...sind Viren, Backdoors ...usw....
Formatiere, so schnell als moeglich, dann komme wieder mit einem sauberen System
__________
MfG Sabina

rund um die PC-Sicherheit

#5 nein habe ich nicht gemerkt, den wie schon erwähnt ist das nicht mein Rechner, sondern der eines Nachbarn. deshalb ist das mit der neuformatierung nicht ganz so einfach.
aber wenn es nicht anders geht ....... dann muß es wohl sein *seufz*

trotzdem thx