netpumper dl - trojaner swizzor

#1 hallo,

habe mir voreilig den netpumper gezogen und folgerichtig auch den trojaner mit importiert. antivir hat den gefunden und gelöscht. da ich jetzt aber nicht weiß, ob tats. alles wieder sauber ist, bitte ich euch um unterstützung.


Logfile of HijackThis v1.99.1
Scan saved at 15:10:27, on 15.10.2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Internet Explorer\iexplore.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\jools\LOKALE~1\Temp\Rar$EX00.993\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {991BB5E1-8C4A-A6C9-D72C-4C45E741623A} - C:\DOKUME~1\jools\ANWEND~1\WAYMAN~1\Shim Love.exe
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [load wipe stupid five] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Dumb Sect Load Wipe\more store.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Steam] "D:\CSS\Steam.exe" -silent
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Copy Bash] C:\DOKUME~1\jools\ANWEND~1\ACEBOO~1\mpegenc.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter 54\WLANMonitor2003.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp\WinStylerThemeSvc.exe

#2 Den folgenden Text in den Editor (Start - Zubehör - Editor) kopieren und als listen.bat mit 'Speichern unter' auf dem Desktop. Gebe bei Dateityp 'Alle Dateien' an. Du solltest jetzt auf dem Desktop diese Datei finden. --> die listen.bat doppelt klicken--> kopiere den Text, der erscheint

Zitat

cd\
dir "C:\Programme" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Lokale Einstellungen\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\%UserName%\Anwendungsdaten" >>files.txt
dir "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten" >>files.txt
dir "C:\Programme\Gemeinsame Dateien" >>files.txt
dir "C:Windows\tasks" >>files.txt
notepad files.txt

__________
MfG Sabina

rund um die PC-Sicherheit

#3 Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9CA6-84E1

Verzeichnis von C:\Programme

15.10.2006 14:29 <DIR> .
15.10.2006 14:29 <DIR> ..
30.09.2006 18:26 <DIR> ACD Systems
15.10.2006 14:29 <DIR> Ace book city
04.10.2006 18:19 <DIR> Adobe
01.10.2006 00:13 <DIR> ALCATech
15.10.2006 14:29 <DIR> Anti-Leech
22.09.2006 17:47 <DIR> AntiVir PersonalEdition Classic
22.09.2006 17:19 <DIR> ComPlus Applications
30.09.2006 18:55 <DIR> Creative
22.09.2006 18:56 <DIR> DAEMON Tools
30.09.2006 18:45 <DIR> Elaborate Bytes
04.10.2006 18:14 <DIR> Gemeinsame Dateien
04.10.2006 17:27 <DIR> ICQLite
24.09.2006 10:10 <DIR> ICQToolbar
22.09.2006 17:20 <DIR> Internet Explorer
30.09.2006 18:55 <DIR> InterVideo
26.09.2006 20:07 <DIR> Java
22.09.2006 18:14 <DIR> Messenger
22.09.2006 17:21 <DIR> microsoft frontpage
28.09.2006 19:24 <DIR> Microsoft Office
10.10.2006 10:40 <DIR> mIRC
22.09.2006 17:20 <DIR> Movie Maker
15.10.2006 17:00 <DIR> Mozilla Firefox
22.09.2006 17:19 <DIR> MSN
22.09.2006 17:19 <DIR> MSN Gaming Zone
30.09.2006 18:56 <DIR> MSXML 4.0
04.10.2006 18:14 <DIR> Nero
22.09.2006 17:20 <DIR> NetMeeting
15.10.2006 14:48 <DIR> NetPumper
22.09.2006 17:41 <DIR> NVIDIA Corporation
22.09.2006 17:19 <DIR> Online Services
22.09.2006 17:20 <DIR> Online-Dienste
22.09.2006 17:19 <DIR> Outlook Express
22.09.2006 18:25 <DIR> Realtek AC97
22.09.2006 17:53 <DIR> Siemens
22.09.2006 17:48 <DIR> Skype
30.09.2006 20:09 <DIR> SlySoft
07.10.2006 02:01 <DIR> Soulseek
02.10.2006 11:24 <DIR> Teamspeak2_RC2
22.09.2006 18:37 <DIR> TuneUp
22.09.2006 19:14 <DIR> Winamp
22.09.2006 18:42 <DIR> Windows Media Player
22.09.2006 17:19 <DIR> Windows NT
22.09.2006 18:21 <DIR> WinRAR
22.09.2006 17:21 <DIR> xerox
30.09.2006 18:51 <DIR> Yahoo!
0 Datei(en) 0 Bytes
47 Verzeichnis(se), 9.602.232.320 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9CA6-84E1

Verzeichnis von C:\Dokumente und Einstellungen\jools\Lokale Einstellungen\Anwendungsdaten

30.09.2006 18:46 <DIR> ACD Systems
28.09.2006 19:25 <DIR> Adobe
08.10.2006 21:12 <DIR> Ahead
05.10.2006 20:25 11.776 DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini
02.10.2006 17:02 18.616 GDIPFONTCACHEV1.DAT
28.09.2006 20:59 <DIR> Identities
25.09.2006 18:36 <DIR> Microsoft
22.09.2006 18:02 <DIR> Mozilla
2 Datei(en) 30.392 Bytes
6 Verzeichnis(se), 9.602.232.320 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9CA6-84E1

Verzeichnis von C:\Dokumente und Einstellungen\jools\Anwendungsdaten

30.09.2006 18:27 <DIR> ACD Systems
15.10.2006 14:29 <DIR> Ace book city
28.09.2006 19:25 <DIR> Adobe
28.09.2006 19:24 <DIR> AdobeUM
05.10.2006 20:36 <DIR> Ahead
30.09.2006 18:47 <DIR> Elaborate Bytes
24.09.2006 10:11 <DIR> ICQLite
22.09.2006 17:26 <DIR> Identities
30.09.2006 18:58 <DIR> InterVideo
04.10.2006 18:19 <DIR> Leadertech
22.09.2006 18:16 <DIR> Macromedia
22.09.2006 18:02 <DIR> Mozilla
15.10.2006 14:31 <DIR> NetPumper
15.10.2006 14:30 <DIR> Skype
26.09.2006 20:07 <DIR> Sun
02.10.2006 11:24 <DIR> teamspeak2
22.09.2006 18:37 <DIR> TuneUp Software
09.10.2006 05:29 <DIR> uTorrent
15.10.2006 14:29 <DIR> waymanager
0 Datei(en) 0 Bytes
19 Verzeichnis(se), 9.602.228.224 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9CA6-84E1

Verzeichnis von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten

30.09.2006 18:26 <DIR> ACD Systems
24.09.2006 19:14 305 addr_file.html
01.10.2006 16:58 <DIR> Adobe
01.10.2006 17:00 <DIR> Adobe Systems
22.09.2006 18:24 <DIR> AntiVir PersonalEdition Classic
15.10.2006 14:29 <DIR> Dumb Sect Load Wipe
25.09.2006 18:38 <DIR> NVIDIA
22.09.2006 18:36 <DIR> TuneUp Software
1 Datei(en) 305 Bytes
7 Verzeichnis(se), 9.602.228.224 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9CA6-84E1

Verzeichnis von C:\Programme\Gemeinsame Dateien

04.10.2006 18:14 <DIR> .
04.10.2006 18:14 <DIR> ..
30.09.2006 18:27 <DIR> ACD Systems
01.10.2006 17:00 <DIR> Adobe
01.10.2006 17:00 <DIR> Adobe Systems Shared
04.10.2006 18:16 <DIR> Ahead
28.09.2006 18:53 <DIR> Designer
22.09.2006 17:19 <DIR> Dienste
22.09.2006 17:52 <DIR> InstallShield
30.09.2006 18:56 <DIR> InterVideo
26.09.2006 20:05 <DIR> Java
28.09.2006 18:53 <DIR> Microsoft Shared
22.09.2006 17:19 <DIR> MSSoap
22.09.2006 17:41 <DIR> NVIDIA Shared
22.09.2006 18:12 <DIR> ODBC
22.09.2006 18:12 <DIR> SpeechEngines
28.09.2006 18:53 <DIR> System
22.09.2006 18:36 <DIR> Wise Installation Wizard
0 Datei(en) 0 Bytes
18 Verzeichnis(se), 9.602.228.224 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 9CA6-84E1

Verzeichnis von C:\Windows\tasks

13.10.2006 17:43 366 1-Klick-Wartung.job
1 Datei(en) 366 Bytes
0 Verzeichnis(se), 9.602.228.224 Bytes frei

#4 osedax

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Folders to delete:
C:\Programme\Ace book city
C:\Programme\Anti-Leech
C:\Programme\NetPumper
C:\Dokumente und Einstellungen\jools\Anwendungsdaten\NetPumper
C:\Dokumente und Einstellungen\jools\Anwendungsdaten\Ace book city
C:\Dokumente und Einstellungen\jools\Anwenungsdaten\waymanager
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Dumb Sect Load Wipe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

**
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {991BB5E1-8C4A-A6C9-D72C-4C45E741623A} - C:\DOKUME~1\jools\ANWEND~1\WAYMAN~1\Shim Love.exe

O4 - HKLM\..\Run: [load wipe stupid five] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Dumb Sect Load Wipe\more store.exe

O4 - HKCU\..\Run: [Copy Bash] C:\DOKUME~1\jools\ANWEND~1\ACEBOO~1\mpegenc.exe

PC neustarten
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Vielen Dank für die schnelle Hilfe.

eine frage habe ich noch: was sagen dir die log-files vom hijackthis?

danke noch einmal & gute nacht.


gruss, iven