kann Backdoor Hupigon nicht entfernen!

#0
11.04.2007, 01:46
Member

Beiträge: 93
#1 hai!

ewido (avg) hat hupigon gefunden un ich kann ihn nicht entfernen:

Scan-Ergebnis:

C:\WINDOWS\system32\LegitCheckControl.dll -> Backdoor.Hupigon : Fehler während der Säuberung.

Logfile of HijackThis
Scan saved at 01:45:28, on 11.04.2007
Platform: Windows XP SP2

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Sandboxie\SandboxieServer.exe
C:\WINDOWS\system32\svchost.exe
C:\unzipped\hijackthis[1]\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://board.protecus.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://board.protecus.de/
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (disabled by BHODemon)
O2 - BHO: Sandboxie - {E947A403-B614-4FA8-B9E7-E790F0BDC87E} -

C:\Programme\Sandboxie\SandboxieToolbar.dll
O3 - Toolbar: Sandboxie - {E947A403-B614-4FA8-B9E7-E790F0BDC87E} -

C:\Programme\Sandboxie\SandboxieToolbar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Privoxy.lnk = C:\Programme\Privoxy\privoxy.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren -

res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen -

{0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} -

C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra button: Sandboxie Toolbar - {11E506DC-0976-4CDA-BB30-37E60A2F2F46} -

C:\Programme\Sandboxie\SandboxieToolbar.dll (HKCU)
O9 - Extra 'Tools' menuitem: Sandboxie - {11E506DC-0976-4CDA-BB30-37E60A2F2F46} -

C:\Programme\Sandboxie\SandboxieToolbar.dll (HKCU)
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} -
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} -
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition

Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH -

C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG

Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame

Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Sandboxie Service (SandboxU) - tzuk - C:\Programme\Sandboxie\SandboxieServer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC -

C:\WINDOWS\system32\ZoneLabs\vsmon.exe


..un hier die dfb-logs

Verzeichnis von C:\WINDOWS\system32

10.04.2007 09:51 55.080 vsconfig.xml
09.04.2007 16:21 2.206 wpa.dbl
02.04.2007 17:27 4.212 zllictbl.dat
25.03.2007 12:44 311.604 perfh009.dat
25.03.2007 12:44 39.992 perfc009.dat
25.03.2007 12:44 316.594 perfh007.dat
25.03.2007 12:44 48.156 perfc007.dat
25.03.2007 12:44 723.744 PerfStringBackup.INI
09.03.2007 00:02 54.936 vsutil_loc0407.dll
09.03.2007 00:02 22.168 imsinstall_loc0407.dll
09.03.2007 00:02 18.072 imslsp_install_loc0407.dll
09.03.2007 00:02 394.192 vsdatant.sys
09.03.2007 00:01 1.087.216 zpeng24.dll
09.03.2007 00:01 71.408 zlcommdb.dll
09.03.2007 00:01 100.080 vsxml.dll
09.03.2007 00:01 83.696 zlcomm.dll
09.03.2007 00:01 46.832 vswmi.dll
09.03.2007 00:01 472.816 vsutil.dll
09.03.2007 00:01 104.176 vsmonapi.dll
09.03.2007 00:01 71.408 vsregexp.dll
09.03.2007 00:01 276.208 vspubapi.dll
09.03.2007 00:01 83.696 vsdata.dll
09.03.2007 00:01 157.424 vsinit.dll
23.01.2007 21:30 546.304 hhctrl.ocx
19.12.2006 23:49 135.168 shsvcs.dll

Verzeichnis von C:\WINDOWS

11.04.2007 00:37 0 0.log
11.04.2007 00:35 159 wiadebug.log
11.04.2007 00:35 50 wiaservc.log
11.04.2007 00:34 2.048 bootstat.dat
11.04.2007 00:31 1.493.739 WindowsUpdate.log
10.04.2007 14:18 155 winamp.ini
06.04.2007 00:35 341 lexstat.ini
29.03.2007 21:26 10.131 KB918118.log
29.03.2007 21:26 748.830 iis6.log
29.03.2007 21:26 60.493 comsetup.log
29.03.2007 21:26 130.542 ntdtcsetup.log
29.03.2007 21:26 292.931 tsoc.log
29.03.2007 21:26 1.374 imsins.log
29.03.2007 21:26 28.309 tabletoc.log
29.03.2007 21:26 34.229 ocmsn.log
29.03.2007 21:24 105.810 netfxocm.log
29.03.2007 21:24 44.434 MedCtrOC.log
29.03.2007 21:24 98.184 ocgen.log
29.03.2007 21:24 31.420 msgsocm.log
29.03.2007 21:24 575.844 FaxSetup.log
29.03.2007 21:23 211.096 msmqinst.log
29.03.2007 21:23 24.721 updspapi.log
29.03.2007 21:19 1.374 imsins.BAK
29.03.2007 21:19 7.573 KB924667.log
29.03.2007 21:17 9.101 KB926436.log
29.03.2007 21:13 9.806 KB927779.log
29.03.2007 21:09 6.612 KB928843.log
29.03.2007 21:05 6.443 KB927802.log
29.03.2007 20:50 7.307 KB928255.log
29.03.2007 20:45 3.995 KB923723.log
29.03.2007 20:44 50.158 setupapi.log
29.03.2007 20:31 10.936 KB923689.log
29.03.2007 20:21 2.826 KB926247.log
29.03.2007 20:08 6.543 KB926255.log
29.03.2007 19:51 8.086 KB920213.log
29.03.2007 19:40 10.977 KB923980.log
29.03.2007 19:35 14.546 KB923191.log
29.03.2007 19:31 1.480 KB921398Uninst.log
23.03.2007 20:37 20.352 KB925486.log
09.03.2007 00:02 42.648 zllsputility_loc0407.dll
09.03.2007 00:02 75.512 zllsputility.exe
03.02.2007 20:18 75 setupact.log
22.01.2007 02:09 6.324 mozver.dat
22.01.2007 02:09 497 win.ini
22.01.2007 02:06 116 NeroDigital.ini
02.01.2007 01:44 1.985 wininit.ini

Verzeichnis von C:\

11.04.2007 01:30 0 sys.txt
11.04.2007 01:29 9.004 system.txt
11.04.2007 01:29 126 systemtemp.txt
11.04.2007 01:26 97.225 system32.txt
11.04.2007 00:34 268.034.048 hiberfil.sys
11.04.2007 00:34 402.653.184 pagefile.sys

Verzeichnis von C:\DOKUME~1\wicky\LOKALE~1\Temp

sorry..brauche hilfe ..kriegs ned weg!
__________
will die weltherrschaft an mich reissen!!
Seitenanfang Seitenende
11.04.2007, 07:59
Moderator

Beiträge: 7805
#2 Ueberpruefe die Datei bitte einmal bei Jotti/VT, um einen Fehlalarm auszuschliessen, bzw aktualisiere vorher Ewido, und schaue, ob die Datei immer noch angemeckert wird
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
11.04.2007, 13:25
Member

Themenstarter

Beiträge: 93
#3 hai ralf,

habe nachts noch ma mit ewido gescant :
C:\WINDOWS\system32\LegitCheckControl.dll -> Backdoor.Hupigon : Mit Backup gesäubert (unter Quarantäne gestellt).

dann war auch nachm neustart keine meldung mehr (bis jezt sin keine neuen updates verfügbar)
sorry blöde frage..aba ich kapiers ned..
C:\WINDOWS\system32\LegitCheckControl.dll is doch nur der pfad zum speicherort des fundes, die LegitCheckControl.dll find ich jezt aba nicht mehr!
is jezt die ganze dll unter quarantäne? ..frage wegen ganz entfernen..
__________
will die weltherrschaft an mich reissen!!
Seitenanfang Seitenende
11.04.2007, 16:21
Moderator

Beiträge: 7805
#4 Du kannst die Datei in Quarantaeene gerne loeschen.
Zur Sicherheit kannst du gerne noch diese Informationen posten: http://board.protecus.de/t23188.htm
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
11.04.2007, 18:49
Member

Themenstarter

Beiträge: 93
#5 hai!
habe quarantäne gelöscht
dann hjt+dfb gescannt
un nochma mit ewido gescannt...mit neuem fund ;)

Logfile of HijackThis v1.99.1

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Programme\Sandboxie\SandboxieServer.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Privoxy\privoxy.exe
C:\WINDOWS\system32\devldr32.exe
C:\unzipped\hijackthis[1]\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://board.protecus.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://board.protecus.de/
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (disabled by BHODemon)
O2 - BHO: Sandboxie - {E947A403-B614-4FA8-B9E7-E790F0BDC87E} - C:\Programme\Sandboxie\SandboxieToolbar.dll
O3 - Toolbar: Sandboxie - {E947A403-B614-4FA8-B9E7-E790F0BDC87E} - C:\Programme\Sandboxie\SandboxieToolbar.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Privoxy.lnk = C:\Programme\Privoxy\privoxy.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra button: Sandboxie Toolbar - {11E506DC-0976-4CDA-BB30-37E60A2F2F46} - C:\Programme\Sandboxie\SandboxieToolbar.dll (HKCU)
O9 - Extra 'Tools' menuitem: Sandboxie - {11E506DC-0976-4CDA-BB30-37E60A2F2F46} - C:\Programme\Sandboxie\SandboxieToolbar.dll (HKCU)
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} -
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} -
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Sandboxie Service (SandboxU) - tzuk - C:\Programme\Sandboxie\SandboxieServer.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe


Verzeichnis von C:\

11.04.2007 17:09 0 sys.txt
11.04.2007 17:09 9.004 system.txt
11.04.2007 17:09 126 systemtemp.txt
11.04.2007 17:08 97.166 system32.txt
11.04.2007 10:30 268.034.048 hiberfil.sys
11.04.2007 10:30 402.653.184 pagefile.sys
16.08.2006 13:37 221 boot.ini


Verzeichnis von C:\WINDOWS\system32

11.04.2007 10:36 55.080 vsconfig.xml
09.04.2007 16:21 2.206 wpa.dbl
02.04.2007 17:27 4.212 zllictbl.dat
25.03.2007 12:44 311.604 perfh009.dat
25.03.2007 12:44 39.992 perfc009.dat
25.03.2007 12:44 316.594 perfh007.dat
25.03.2007 12:44 48.156 perfc007.dat
25.03.2007 12:44 723.744 PerfStringBackup.INI
09.03.2007 00:02 54.936 vsutil_loc0407.dll
09.03.2007 00:02 22.168 imsinstall_loc0407.dll
09.03.2007 00:02 18.072 imslsp_install_loc0407.dll
09.03.2007 00:02 394.192 vsdatant.sys
09.03.2007 00:01 1.087.216 zpeng24.dll
09.03.2007 00:01 71.408 zlcommdb.dll
09.03.2007 00:01 100.080 vsxml.dll
09.03.2007 00:01 83.696 zlcomm.dll
09.03.2007 00:01 46.832 vswmi.dll
09.03.2007 00:01 472.816 vsutil.dll
09.03.2007 00:01 104.176 vsmonapi.dll
09.03.2007 00:01 71.408 vsregexp.dll
09.03.2007 00:01 276.208 vspubapi.dll
09.03.2007 00:01 83.696 vsdata.dll
09.03.2007 00:01 157.424 vsinit.dll
23.01.2007 21:30 546.304 hhctrl.ocx
19.12.2006 23:49 135.168 shsvcs.dll

Verzeichnis von C:\WINDOWS

11.04.2007 16:20 116 NeroDigital.ini
11.04.2007 10:33 0 0.log
11.04.2007 10:32 159 wiadebug.log
11.04.2007 10:32 50 wiaservc.log
11.04.2007 10:31 2.048 bootstat.dat
11.04.2007 10:28 1.494.824 WindowsUpdate.log
10.04.2007 14:18 155 winamp.ini
06.04.2007 00:35 341 lexstat.ini
29.03.2007 21:26 10.131 KB918118.log
29.03.2007 21:26 748.830 iis6.log
29.03.2007 21:26 60.493 comsetup.log
29.03.2007 21:26 130.542 ntdtcsetup.log
29.03.2007 21:26 292.931 tsoc.log
29.03.2007 21:26 1.374 imsins.log
29.03.2007 21:26 28.309 tabletoc.log
29.03.2007 21:26 34.229 ocmsn.log
29.03.2007 21:24 105.810 netfxocm.log
29.03.2007 21:24 44.434 MedCtrOC.log
29.03.2007 21:24 98.184 ocgen.log
29.03.2007 21:24 31.420 msgsocm.log
29.03.2007 21:24 575.844 FaxSetup.log
29.03.2007 21:23 211.096 msmqinst.log
29.03.2007 21:23 24.721 updspapi.log
29.03.2007 21:19 1.374 imsins.BAK
29.03.2007 21:19 7.573 KB924667.log
29.03.2007 21:17 9.101 KB926436.log
29.03.2007 21:13 9.806 KB927779.log
29.03.2007 21:09 6.612 KB928843.log
29.03.2007 21:05 6.443 KB927802.log
29.03.2007 20:50 7.307 KB928255.log
29.03.2007 20:45 3.995 KB923723.log
29.03.2007 20:44 50.158 setupapi.log
29.03.2007 20:31 10.936 KB923689.log
29.03.2007 20:21 2.826 KB926247.log
29.03.2007 20:08 6.543 KB926255.log
29.03.2007 19:51 8.086 KB920213.log
29.03.2007 19:40 10.977 KB923980.log
29.03.2007 19:35 14.546 KB923191.log
29.03.2007 19:31 1.480 KB921398Uninst.log
23.03.2007 20:37 20.352 KB925486.log
09.03.2007 00:02 42.648 zllsputility_loc0407.dll
09.03.2007 00:02 75.512 zllsputility.exe
03.02.2007 20:18 75 setupact.log
22.01.2007 02:09 6.324 mozver.dat
22.01.2007 02:09 497 win.ini
02.01.2007 01:44 1.985 wininit.ini
29.12.2006 16:09 11.177 KB924496.log

Verzeichnis von C:\DOKUME~1\wicky\LOKALE~1\Temp


AVG Anti-Spyware - Scan-Bericht

C:\System Volume Information\_restore{0D0C58E9-5084-4263-8356-5417080D82D0}\RP123\A0082862.dll -> Backdoor.Hupigon : Mit Backup gesäubert (unter Quarantäne gestellt).

..das ist der bericht, aber in der quarantäne is nichts drin!!?
;)
__________
will die weltherrschaft an mich reissen!!
Seitenanfang Seitenende
11.04.2007, 19:36
Moderator

Beiträge: 7805
#6 Den Fund von Ewido kannst du ignorieren, solange du die Systemwiederherstellung nicht nutzt. Es sieht soweit auch alles sauber aus. Mache bitte noch ueber www.windowsupdate.com noch ausstehende Updates.

Du kannst noch einen Kontrollscan mit F-secure machen: http://support.f-secure.de/ger/home/ols.shtml

Nutze vorher die Datentraegerbereinigung(ausser alte Dateien komprimieren) Zusaetzlich noch die Systemwiederherstellung uber "weitere Optionen" saeubern.
http://support.microsoft.com/default.aspx?scid=kb;de;315246
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
11.04.2007, 22:18
Member

Themenstarter

Beiträge: 93
#7 hai ralf...un vielen dank schon mal für die hilfe!

updates mach ich gleich, über f-secure kann ich nich scannen, da ichn ie nicht benutze..un soweit geht deaktiviert hab
leider hab ich keinen online scanner gefunden, der mit ffox funkt..
nutze cleanup, da brauch ich die datenträgerbereinigung nich mehr, oder?

eins noch*blödfrag*..meinst du systemeigenschaften->sytemwiederherstellung auf allen laufwerken deaktivieren? oder wie? ...sooooorry !
__________
will die weltherrschaft an mich reissen!!
Seitenanfang Seitenende