TR/Obfuscated.DL eingefangen mit NetPumper außerdem 2 iexplorer.exe

#1 Hallo Leute,

ich bin schon am verzweifeln ich brauche dringend eure Hilfe! Ich habe mir durch die Installation von NetPumper (schon wieder deinstalliert) den Trojaner TR/Obfuscated.DL eingefangen und bekomme ihn nicht weg.
Er kommt immer wieder und AntiVir kann ihn nicht löschen. Außerdem laufen bei mir im Hintergrund immer zwei "iexplore.exe" und manchmal auch eine "DOWNLOAD.exe" die Download und iexplore kann ich nicht beenden.

hier mein HiJackThis Logfile:

Zitat

Logfile of HijackThis v1.97.7
Scan saved at 17:02:36, on 11.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
D:\Hardware\Nero 7\InCD\InCDsrv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\Sicherheit\AntiVir PersonalEdition Classic\sched.exe
D:\Sicherheit\AntiVir PersonalEdition Classic\avguard.exe
d:\internet\AVM Fritz\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
D:\Hardware\Logitech\G15\LGDCore.exe
C:\WINDOWS\system32\WgaTray.exe
D:\Hardware\Logitech\G15\LCDMon.exe
D:\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Analog Devices\Core\smax4pnp.exe
D:\Hardware\Logitech\G15\Applets\LCDPop3\LCDPOP3.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
D:\Hardware\Logitech\G15\Applets\LCDClock.exe
D:\Hardware\Nero 7\InCD\InCD.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
D:\Hardware\Logitech\G15\Applets\LCDCountdown\LCDCountdown.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
D:\Hardware\Logitech\G15\Applets\LCDMedia.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Hardware\Logitech\G5\SetPoint.exe
D:\Internet\AVM Fritz\FwebProt.exe
D:\Internet\AVM Fritz\StCenter.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
c:\progra~1\intern~1\iexplore.exe
D:\Internet\Opera\Opera.exe
C:\Programme\Internet Explorer\iexplore.exe
E:\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Office\Adobe Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - D:\Internet\FlashGet\jccatch.dll
O2 - BHO: (no name) - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: (no name) - {F156768E-81EF-470C-9057-481BA8380DBA} - D:\Internet\FlashGet\getflash.dll
O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - D:\Internet\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [Launch LGDCore] "D:\Hardware\Logitech\G15\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "D:\Hardware\Logitech\G15\LCDMon.exe"
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [avgnt] "D:\Sicherheit\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] D:\Hardware\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [Wipemailmp3aim] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Axisdumbwipemail\BindFile.exe
O4 - HKLM\..\Run: [NetPumper] "D:\Internet\NetPumper\NetPumperIEProxy.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EachDefault] C:\DOKUME~1\ADMINI~1\ANWEND~1\DELETE~1\chinbike.exe
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: FRITZ!DSL Protect.lnk = D:\Internet\AVM Fritz\FwebProt.exe
O4 - Startup: FRITZ!DSL Startcenter.lnk = D:\Internet\AVM Fritz\StCenter.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Office\Adobe Reader\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O8 - Extra context menu item: &Alles mit FlashGet laden - D:\Internet\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - D:\Internet\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden (HKLM)
O9 - Extra 'Tools' menuitem: An OneNote s&enden (HKLM)
O9 - Extra button: Research (HKLM)
O9 - Extra button: ICQ Lite (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O9 - Extra button: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: FlashGet (HKLM)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 (HKLM)
O9 - Extra button: Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Windows Messenger (HKLM)
O10 - Unknown file in Winsock LSP: d:\internet\avm fritz\sarah.dll
O10 - Unknown file in Winsock LSP: d:\internet\avm fritz\sarah.dll
O10 - Unknown file in Winsock LSP: d:\internet\avm fritz\sarah.dll
O10 - Unknown file in Winsock LSP: d:\internet\avm fritz\sarah.dll
O10 - Unknown file in Winsock LSP: d:\internet\avm fritz\sarah.dll

hier noch das ComboFix Logfile:

Zitat

Administrator - 07-01-11 17:12:39,10 Service Pack 2
ComboFix 06.11.27 - Running from: "C:\Dokumente und Einstellungen\Administrator"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\system32\taskmgr.com


((((((((((((((((((((((((((((((( Files Created from 2006-12-11 to 2007-01-11 ))))))))))))))))))))))))))))))))))


2007-01-11 10:18 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator\Recent
2007-01-10 20:25 950,272 --a------ C:\WINDOWS\system32\contfilt.dll
2007-01-10 20:25 9,488 --a------ C:\WINDOWS\sporder.dll
2007-01-10 20:25 89,658 --a------ C:\WINDOWS\winsbak2.reg
2007-01-10 20:25 7,680 --a------ C:\WINDOWS\sporder.exe
2007-01-10 20:25 41,984 --a------ C:\WINDOWS\killproc.exe
2007-01-10 20:25 40,448 --a------ C:\WINDOWS\inst_tsp.exe
2007-01-10 20:25 339,968 --a------ C:\WINDOWS\system32\mwtsp.dll
2007-01-10 20:25 3,902 --a------ C:\WINDOWS\winsbak.reg
2007-01-10 20:25 153,600 --a------ C:\WINDOWS\REGEDIT.COM
2007-01-10 20:25 153,600 --a------ C:\WINDOWS\R.COM
2007-01-10 20:25 140,800 --a------ C:\WINDOWS\system32\T.COM
2007-01-10 20:25 130,560 --a------ C:\WINDOWS\system32\ZIPDLL.DLL
2007-01-10 20:25 125,440 --a------ C:\WINDOWS\system32\UNZDLL.DLL
2007-01-10 20:25 118,784 --a------ C:\WINDOWS\system32\mwnsp.dll
2007-01-10 20:25 <DIR> d-------- C:\WINDOWS\system32\FLCSS.EXE
2007-01-10 20:25 <DIR> d-------- C:\Programme\Gemeinsame Dateien\MicroWorld
2007-01-10 20:11 <DIR> d-------- C:\avenger
2007-01-10 15:42 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2007-01-10 15:36 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Delete Bias Bait
2007-01-10 14:59 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Axisdumbwipemail
2007-01-10 14:58 <DIR> d-------- C:\Programme\Delete Bias Bait
2007-01-10 14:58 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\NetPumper
2007-01-07 20:13 <DIR> d---s---- C:\Dokumente und Einstellungen\Administrator\UserData
2007-01-07 12:19 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Eigene Dateien
2007-01-01 16:20 <DIR> d--hs---- C:\Config.Msi
2007-01-01 03:10 <DIR> d--hs---- C:\WINDOWS\CSC
2006-12-31 13:56 94,208 --a------ C:\WINDOWS\system32\LXBKCUR.DLL
2006-12-31 13:56 86,016 --a------ C:\WINDOWS\system32\LXBKIH.EXE
2006-12-31 13:56 77,824 --a------

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"
"Steam"=""
"EachDefault"="C:\\DOKUME~1\\ADMINI~1\\ANWEND~1\\DELETE~1\\chinbike.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"SoundMAX"="\"C:\\Programme\\Analog Devices\\SoundMAX\\Smax4.exe\" /tray"
"JMB36X Configure"="C:\\WINDOWS\\system32\\JMRaidTool.exe boot"
@=""
"Launch LGDCore"="\"D:\\Hardware\\Logitech\\G15\\LGDCore.exe\" /SHOWHIDE"
"Launch LCDMon"="\"D:\\Hardware\\Logitech\\G15\\LCDMon.exe\""
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE"
"avgnt"="\"D:\\Sicherheit\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"GrooveMonitor"="\"C:\\Programme\\Microsoft Office\\Office12\\GrooveMonitor.exe\""
"SoundMAXPnP"="C:\\Programme\\Analog Devices\\Core\\smax4pnp.exe"
"ATICCC"="\"C:\\Programme\\ATI Technologies\\ATI.ACE\\CLIStart.exe\""
"NeroFilterCheck"="C:\\Programme\\Gemeinsame Dateien\\Ahead\\Lib\\NeroCheck.exe"
"InCD"="D:\\Hardware\\Nero 7\\InCD\\InCD.exe"
"Lexmark X1100 Series"="\"C:\\Programme\\Lexmark X1100 Series\\lxbkbmgr.exe\""
"Wipemailmp3aim"="C:\\Dokumente und Einstellungen\\All Users\\Anwendungsdaten\\Axisdumbwipemail\\BindFile.exe"
"NetPumper"="\"D:\\Internet\\NetPumper\\NetPumperIEProxy.exe\""

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]
"DeskHtmlVersion"=dword:00000110
"DeskHtmlMinorVersion"=dword:00000005
"Settings"=dword:00000001
"GeneralFlags"=dword:00000005

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"
"Flags"=dword:00000002
"Position"=hex:2c,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,00,00,00,\
00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
"CurrentState"=hex:04,00,00,40
"OriginalStateInfo"=hex:18,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,\
00,00,04,00,00,40
"RestoredStateInfo"=hex:18,00,00,00,00,01,00,00,00,00,00,00,00,04,00,00,e2,03,\
00,00,01,00,00,00

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\CTFMON.EXE"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""
"{B5A7F190-DDA6-4420-B3BA-52453494E6CD}"="Groove GFS Stub Execution Hook"

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"dontdisplaylastusername"=dword:00000000
"legalnoticecaption"=""
"legalnoticetext"=""
"shutdownwithoutlogon"=dword:00000001
"undockwithoutlogon"=dword:00000001
"SynchronousMachineGroupPolicy"=dword:00000000
"SynchronousUserGroupPolicy"=dword:00000000

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]
"NoDriveTypeAutoRun"=dword:00000091

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]
"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"
"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"
"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\dimsntfy

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\A39CE8CB91A79C37.job

Completion time: 07-01-11 17:13:10.78
C:\ComboFix.txt ... 07-01-11 17:13

Ach ja, PopUps öffnen sich auch immer.....

Außerdem gibt es in meinen Anwendungsdaten einen Ordner mit dem komischen Namen "Delete Bias Biat" mit einer "chinbike.exe" datei darin.

Ich hoffe auf eine schnelle Antwort, weil ich morgen auf eine LAN wollte und nicht die anderen PCs anstecken will....

Thx!!

#2 JayCee

Avenger
http://virus-protect.org/artikel/tools/avenger.html
kopiere rein:

Zitat

Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|NetPumper
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|Wipemailmp3aim

Files to delete:
C:\WINDOWS\tasks\A39CE8CB91A79C37.job

Folders to delete:
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\Delete Bias Bait
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Axisdumbwipemail
C:\Programme\Delete Bias Bait
C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten\NetPumper

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

____________

öffne das HijackThis -- Button "scan" -- vor diesen Eintrag Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O4 - HKCU\..\Run: [EachDefault] C:\DOKUME~1\ADMINI~1\ANWEND~1\DELETE~1\chinbike.exe

»»
scanne mit counterspy und lasse nach dem scan mittels "remove" den netpumper-Muell loeschen
http://virus-protect.org/counterspy.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 THX für die schnelle Hilfe, hat geklappt!