Angriff von Antivermins

#0
25.12.2006, 11:27
...neu hier

Beiträge: 2
#1 Guten Tag an die Forumsgemeinde

Seit 2 Tagen habe ich ständig in der Taskleiste unten rechts ein blinkendes Fragezeichen mit dem Hinweis ich hätte einen Systemfehler. Beim anklicken des Symboles kommt eine Website von Antisermins. Ich glaube nicht, daß die es gut mit meinem Rechner meinen. Das scannen mit verschieden Virenscannern hat keinen Erfolg gebracht. Ich suche hier nun um Hilfe, um den Eindringling loszuwerden. Hier die Logfiles
Logfile of HijackThis v1.99.1
Scan saved at 11:04:47, on 25.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\Explorer.EXE
F:\Programme\Video ActiveX Object\pmsngr.exe
F:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
F:\WINDOWS\htpatch.exe
F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
F:\Programme\Video ActiveX Object\pmmon.exe
F:\Programme\Logitech\MouseWare\system\em_exec.exe
F:\Programme\FRITZ!\FriFax32.exe
F:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
F:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
F:\WINDOWS\system32\crypserv.exe
F:\Programme\Microsoft SQL Server\MSSQL$CENTROSQL\Binn\sqlservr.exe
F:\Programme\Microsoft SQL Server\MSSQL$EK4\Binn\sqlservr.exe
F:\WINDOWS\system32\UStorSrv.exe
f:\programme\gemeinsame dateien\vidicom\vcmserver.exe
F:\Programme\Microsoft SQL Server\MSSQL$CENTROSQL\Binn\sqlagent.EXE
F:\Programme\Internet Explorer\iexplore.exe
F:\PROGRA~1\Logitech\MOUSEW~1\system\WebColct.exe
F:\WINDOWS\system32\NOTEPAD.EXE
F:\DOKUME~1\Naumann\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,F:\WINDOWS\system32\userinit.exe,
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Protection Bar - {0D045BAA-4BD3-4C94-BE8B-21536BD6BD9F} - F:\Programme\Video ActiveX Object\iesplugin.dll (file missing)
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [EM_EXEC] F:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [SiSUSBRG] F:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [HTpatch] F:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [TkBellExe] "F:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - Global Startup: FRITZ!fax.lnk = F:\Programme\FRITZ!\FriFax32.exe
O4 - Global Startup: Dienst-Manager.lnk = F:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\PROGRA~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {693F0F29-1D1F-4EDF-B5A8-E8852FF195DE} (SEAGULL J Walk Printer Client) - http://www.japcar.de/jwalk/jwalk_printerclient_ie.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2004061001/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} (O2C-Player (ELECO Software GmbH)) - http://www.o2c.de/download/o2cplayer.cab
O20 - Winlogon Notify: WgaLogon - F:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: buprestidae - {b59f3ba4-98da-4b5f-8a2d-7b56fb11140b} - F:\WINDOWS\system32\cthkpcv.dll
O23 - Service: Autodata Limited License Service - Unknown owner - F:\Programme\Gemeinsame Dateien\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: Crypkey License - Kenonic Controls Ltd. - F:\WINDOWS\SYSTEM32\crypserv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: UStorage Server Service - OTi - F:\WINDOWS\system32\UStorSrv.exe
O23 - Service: vidicom Server - vidicom GmbH - f:\programme\gemeinsame dateien\vidicom\vcmserver.exe

Danke schon mal an alle, die darüber nachdenken
micrometer
Dieser Beitrag wurde am 25.12.2006 um 13:15 Uhr von micrometer editiert.
Seitenanfang Seitenende
25.12.2006, 14:12
Ehrenmitglied
Avatar Sabina

Beiträge: 29434
#2 micrometer

ich brauche noch daten:
poste dieses log
http://virus-protect.org/artikel/tools/combofix.html
____________________________________________________

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein

Zitat

Registry values to delete:
HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar|{0D045BAA-4BD3-4C94-BE8B-21536BD6BD9F}
HKLM\software\microsoft\windows\currentversion\shellserviceobjectdelayload|buprestidae
HKLM\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler|{b59f3ba4-98da-4b5f-8a2d-7b56fb11140b}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamonitor.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|pmsngr.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|isamini.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run|wininet.dll

registry keys to delete:
HKLM\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
HKLM\SOFTWARE\Classes\CLSID\{0D045BAA-4BD3-4C94-BE8B-21536BD6BD9F}
HKLM\SOFTWARE\Classes\CLSID\{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}
HKLM\SOFTWARE\Classes\CLSID\{b59f3ba4-98da-4b5f-8a2d-7b56fb11140b}
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Video ActiveX Object
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Video ActiveX Object
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Security Add-On
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03
HKLM\SOFTWARE\AntiVermins
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{6B112EBD-0C90-4AC4-A969-F36797F00006}

Files to delete:
F:\WINDOWS\system32\ipv6monk.dll
F:\WINDOWS\system32\ipv6monl.dll
F:\Dokumente und Einstellungen\%Username%\Favoriten\Antivirus Test Online.url
F:\Dokumente und Einstellungen\All Users\Startmenü\Online Security Guide.url
F:\Dokumente und Einstellungen\All Users\Startmenü\Security Troubleshooting.url
F:\WINDOWS\system32\cthkpcv.dll

Folders to delete:
F:\Programme\Video ActiveX Object
F:\Programme\AntiVermins

Klicke die grüne Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

»»
lösche das Backup vom Avenger unter F:\Avenger\backup.zip + leere den Papierkorb

««
scanne mit smitfraudfix - Option 1 und 2 ( lasse auch die Registry mitreinigen)
http://virus-protect.org/artikel/tools/smitfrautfix.html
__________
MfG Sabina

rund um die PC-Sicherheit
Seitenanfang Seitenende
25.12.2006, 17:47
...neu hier

Themenstarter

Beiträge: 2
#3 Hallo Sabina
Hier die noch gewünschten Daten
Naumann - 06-12-25 17:30:46,03 Service Pack 2
ComboFix 06.11.27 - Running from: "F:\Dokumente und Einstellungen\Naumann\Desktop"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


F:\WINDOWS\system32\W007T32W.DLL
F:\WINDOWS\system32\W008T32W.DLL
F:\WINDOWS\system32\W001T32W.DLL
F:\WINDOWS\system32\W006T32W.DLL
F:\WINDOWS\system32\W020T32W.DLL
F:\WINDOWS\system32\W021T32W.DLL


((((((((((((((((((((((((((((((( Files Created from 2006-11-25 to 2006-12-25 ))))))))))))))))))))))))))))))))))


2006-12-25 13:48 <DIR> dr-h----- F:\Dokumente und Einstellungen\Naumann\Recent
2006-12-25 13:20 1,730 --a------ F:\WINDOWS\system32\tmp.reg
2006-12-25 10:45 <DIR> d-------- F:\avenger
2006-12-24 16:28 <DIR> d-------- F:\Programme\Lavasoft
2006-12-24 16:28 <DIR> d-------- F:\Dokumente und Einstellungen\Naumann\Anwendungsdaten\Lavasoft
2006-12-24 15:29 <DIR> d-------- F:\Programme\a-squared Free
2006-12-23 11:52 72,920 --a------ F:\WINDOWS\system32\ipv6monk.dll
2006-12-22 19:24 72,920 --a------ F:\WINDOWS\system32\ipv6monl.dll


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2006-12-07 07:40 2362184 --a------ F:\WINDOWS\system32\wmvcore.dll
2006-11-08 06:06 679424 --a------ F:\WINDOWS\system32\inetcomm.dll
2006-10-20 02:38 715776 --a------ F:\WINDOWS\system32\sxs.dll
2006-10-13 13:35 65536 --a------ F:\WINDOWS\system32\nwwks.dll
2006-10-13 13:35 64000 --a------ F:\WINDOWS\system32\nwapi32.dll
2006-10-13 13:35 146432 --a------ F:\WINDOWS\system32\nwprovau.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"Logitech Utility"="Logi_MwX.Exe"
"EM_EXEC"="F:\\PROGRA~1\\Logitech\\MOUSEW~1\\SYSTEM\\EM_EXEC.EXE"
"SiSUSBRG"="F:\\WINDOWS\\SiSUSBrg.exe"
"HTpatch"="F:\\WINDOWS\\htpatch.exe"
"TkBellExe"="\"F:\\Programme\\Gemeinsame Dateien\\Real\\Update_OB\\realsched.exe\" -osboot"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000004

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="F:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="F:\\WINDOWS\\System32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091
"StartMenuLogOff"=dword:00000001
"ClearRecentDocsOnExit"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000001
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\F:^Dokumente und Einstellungen^Naumann^Startmenü^Programme^Autostart^Persbackup.lnk]
"path"="F:\\Dokumente und Einstellungen\\Naumann\\Startmenü\\Programme\\Autostart\\Persbackup.lnk"
"backup"="F:\\WINDOWS\\pss\\Persbackup.lnkStartup"
"location"="Startup"
"command"="F:\\PROGRA~1\\PERSON~1\\PERSBA~1.EXE /auto"
"item"="Persbackup"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\F:^Dokumente und Einstellungen^Naumann^Startmenü^Programme^Autostart^PERSBA~1.lnk]
"path"="F:\\Dokumente und Einstellungen\\Naumann\\Startmenü\\Programme\\Autostart\\PERSBA~1.lnk"
"backup"="F:\\WINDOWS\\pss\\PERSBA~1.lnkStartup"
"location"="Startup"
"command"="F:\\PROGRA~1\\PERSON~1\\PERSBA~1.EXE /auto"
"item"="PERSBA~1"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVGCtrl]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="AVGNT"
"hkey"="HKLM"
"command"="F:\\Programme\\AVPersonal\\AVGNT.EXE /min"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="avgnt"
"hkey"="HKLM"
"command"="\"F:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BMWInfoAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="bmw_agent"
"hkey"="HKCU"
"command"="C:\\Programme\\BMWInfoRadio\\bmw_agent.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AVWUpSrv"=dword:00000002
"AntiVirService"=dword:00000002
"WZCSVC"=dword:00000002
"UPS"=dword:00000003
"TapiSrv"=dword:00000003
"SQLAgent$AUDACON"=dword:00000003
"MSSQL$AUDACON"=dword:00000003
"ImapiService"=dword:00000003
"ERSvc"=dword:00000002
"AntiVirScheduler"=dword:00000002
"SCardSvr"=dword:00000003

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
F:\WINDOWS\tasks\Personal Backup.job

Completion time: 06-12-25 17:31:18.26
F:\ComboFix.txt ... 06-12-25 17:31

Ich habe SmitfratFix angewendet u. wie es scheint Erfolg gehabt. Die andere Variante (Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein ......) bringt mir nur Fehlermeldungen
Z.B.:
Fatal error: could not create new script file
Error Code 1813
Error logged to errorlog.txt Aborting now!

Das Symbol in der Taskleiste rechts ist aber weg u. IE bringt keine Fehlermeldung mehr.

micrometer
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: