TR/Vundo.Gen.19

#0
15.04.2007, 20:49
...neu hier

Beiträge: 4
#1 Hallo erstmal und Hilfeee...

Habe seit ca einer Woche Vundo.Gen
Trojaner wurde von AntiVir schon ca 15 mal erkannt und immer wieder erfolglos gelöscht. Habe schon mit HiJackThist / Vundofix / FixVundo von Symantec rumprobiert. Vundofix erkennt ihn jedes mal, entfernt ihn, aber er kommt immer wieder...

als Quelle verdächtige ich die datei khfeefd.dll in /system32, die ich nicht löschen kann (weder abgesicherter Modus, noch mit Eraser)

Ich hoffe auf euere Hilfe, und vielen Dank im Voraus..

Hier mein HiJackThis Logfile...
_________________________________________________________
Logfile of HijackThis v1.99.1
Scan saved at 20:48:14, on 15.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\SLEE11.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\stsystra.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Creative\Mixer\CTSVolFE.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\NetWaiting\netwaiting.exe
C:\Programme\Dell Support\DSAgnt.exe
C:\Programme\Eraser\eraser.exe
C:\Programme\Digital Line Detect\DLG.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Tobias\Eigene Dateien\hj\hldhgsa.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=4061016
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=4061016
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {08E8EC4C-663C-4BE8-AE2B-731BCBB385FA} - C:\WINDOWS\system32\mljjj.dll (file missing)
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: (no name) - {7F5FFCB8-4838-43CD-80EA-A7EC9C744281} - (no file)
O2 - BHO: CBrowserHelperObject Object - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Programme\BAE\BAE.dll
O2 - BHO: (no name) - {DF6E3EEE-6524-4EA6-BDF6-C9399461432A} - C:\WINDOWS\system32\jkhfc.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSKDetectorExe] C:\Programme\McAfee\SpamKiller\MSKDetct.exe /uninstall
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CTSVolFE.exe] "C:\Programme\Creative\Mixer\CTSVolFE.exe" /r
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ModemOnHold] C:\Programme\NetWaiting\netwaiting.exe
O4 - HKCU\..\Run: [DellSupport] "C:\Programme\Dell Support\DSAgnt.exe" /startup
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O18 - Filter: application/x-internet-signup - {A173B69A-1F9B-4823-9FDA-412F641E65D6} - C:\Programme\Tiscali\Tiscali Internet\dlls\tiscalifilter.dll
O20 - Winlogon Notify: khfeefd - C:\WINDOWS\
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe

================================================
================================================

Hier der Log von ComboFix:
______________________________________________________

"Tobias" - 07-04-15 21:14:16 Service Pack 2
ComboFix 07-04-05.Rev3 - Running from: "C:\Dokumente und Einstellungen\Tobias\Desktop"


((((((((((((((((((((((((((((((( Files Created from 2007-03-15 to 2007-04-15 ))))))))))))))))))))))))))))))))))


2007-04-15 19:09 618,496 --a------ C:\WINDOWS\system32\Eraser.dll
2007-04-15 19:09 286,720 --a------ C:\WINDOWS\system32\erasext.dll
2007-04-15 19:09 241,664 --a------ C:\WINDOWS\system32\eraserl.exe
2007-04-15 19:09 <DIR> d-------- C:\Programme\Eraser
2007-04-15 18:58 <DIR> d-------- C:\Programme\Yahoo!
2007-04-15 18:58 <DIR> d-------- C:\Programme\CCleaner
2007-04-11 12:02 75,512 --a------ C:\WINDOWS\zllsputility.exe
2007-04-11 12:02 42,648 --a------ C:\WINDOWS\zllsputility_loc0407.dll
2007-04-11 12:02 22,168 --a------ C:\WINDOWS\system32\imsinstall_loc0407.dll
2007-04-11 12:02 18,072 --a------ C:\WINDOWS\system32\imslsp_install_loc0407.dll
2007-04-11 12:02 1,087,216 --a------ C:\WINDOWS\system32\zpeng24.dll
2007-04-11 10:24 <DIR> d-------- C:\VundoFix Backups
2007-04-10 20:00 8,704 --a------ C:\WINDOWS\system32\SpOrder.dll
2007-04-10 20:00 24,064 --a------ C:\WINDOWS\system32\msxml3a.dll
2007-04-10 20:00 1,060,864 --a------ C:\WINDOWS\system32\mfc71.dll
2007-04-10 18:39 510,504 ---hs---- C:\WINDOWS\system32\gjkmp.bak2
2007-04-09 15:10 506,616 ---hs---- C:\WINDOWS\system32\gjkmp.bak1
2007-04-08 15:54 26,694 --a------ C:\WINDOWS\system32\ddccddd.dll
2007-04-08 15:51 26,694 --a------ C:\WINDOWS\system32\khfeefd.dll
2007-04-06 17:38 98,304 --a------ C:\WINDOWS\system32CmdLineExt.dll
2007-04-06 17:38 <DIR> dr-h----- C:\DOKUME~1\Tobias\ANWEND~1\SecuROM
2007-04-06 17:38 <DIR> d-------- C:\DOKUME~1\Tobias\ANWEND~1\Command & Conquer 3 Tiberium Wars
2007-04-06 17:23 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll
2007-04-02 17:51 <DIR> d-------- C:\DATALUX BAK
2007-03-24 19:45 <DIR> d-------- C:\DOKUME~1\Manuela\ANWEND~1\Adobe


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-04-15 18:56 85144 --a------ C:\WINDOWS\system32\nvmodes.dat
2007-04-14 16:48 -------- d-------- C:\DOKUME~1\Tobias\ANWEND~1\skype
2007-04-11 12:03 4212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2007-04-08 23:23 -------- d-------- C:\Programme\prolific publishing, inc
2007-04-06 17:04 -------- d--h----- C:\Programme\installshield installation information
2007-03-25 13:34 64802 --a------ C:\WINDOWS\system32\perfc007.dat
2007-03-25 13:34 393030 --a------ C:\WINDOWS\system32\perfh007.dat
2007-03-09 01:02 54936 --a------ C:\WINDOWS\system32\vsutil_loc0407.dll
2007-02-23 17:55 757 --a------ C:\WINDOWS\ereg.dat


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"MSMSGS"="\"C:\\Programme\\Messenger\\msmsgs.exe\" /background"
"ModemOnHold"="C:\\Programme\\NetWaiting\\netwaiting.exe"
"DellSupport"="\"C:\\Programme\\Dell Support\\DSAgnt.exe\" /startup"
"Eraser"="C:\\Programme\\Eraser\\eraser.exe -hide"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"ZoneAlarm Client"="\"C:\\Programme\\Zone Labs\\ZoneAlarm\\zlclient.exe\""
"WinampAgent"="C:\\Programme\\Winamp\\winampa.exe"
"SynTPEnh"="C:\\Programme\\Synaptics\\SynTP\\SynTPEnh.exe"
"SigmatelSysTrayApp"="stsystra.exe"
"RemoteControl"="C:\\Programme\\CyberLink\\PowerDVD\\PDVDServ.exe"
"nwiz"="nwiz.exe /installquiet"
"NvMediaCenter"="RunDLL32.exe NvMCTray.dll,NvTaskbarInit"
"NVHotkey"="rundll32.exe nvHotkey.dll,Start"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"
"MSKDetectorExe"="C:\\Programme\\McAfee\\SpamKiller\\MSKDetct.exe /uninstall"
"ISUSScheduler"="\"C:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\issch.exe\" -start"
"ISUSPM Startup"="\"C:\\Programme\\Gemeinsame Dateien\\InstallShield\\UpdateService\\isuspm.exe\" -startup"
"IntelZeroConfig"="\"C:\\Programme\\Intel\\Wireless\\bin\\ZCfgSvc.exe\""
"IntelWireless"="\"C:\\Programme\\Intel\\Wireless\\Bin\\ifrmewrk.exe\" /tf Intel PROSet/Wireless"
"Google Desktop Search"="\"C:\\Programme\\Google\\Google Desktop Search\\GoogleDesktop.exe\" /startup"
"ehTray"="C:\\WINDOWS\\ehome\\ehtray.exe"
"dla"="C:\\WINDOWS\\system32\\dla\\tfswctrl.exe"
"Dell QuickSet"="C:\\Programme\\Dell\\QuickSet\\quickset.exe"
"DAEMON Tools-1033"="\"C:\\Programme\\D-Tools\\daemon.exe\" -lang 1033"
"CTSVolFE.exe"="\"C:\\Programme\\Creative\\Mixer\\CTSVolFE.exe\" /r"
"avgnt"="\"C:\\Programme\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]
"NoChange"="1"
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]
"Installed"="1"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Dell Network Assistant.lnk]
"path"="C:\\Dokumente und Einstellungen\\All Users\\Startmenü\\Programme\\Autostart\\Dell Network Assistant.lnk"
"backup"="C:\\WINDOWS\\pss\\Dell Network Assistant.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\WINDOWS\\Installer\\{0240BDFB-2995-4A3F-8C96-18D41282B716}\\Icon0240BDFB3.exe -systray"
"item"="Dell Network Assistant"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NI.UWA7P_0001_N91M0809]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="WinAntiVirusPro2007FreeInstall(3)"
"hkey"="HKLM"
"command"="\"C:\\Dokumente und Einstellungen\\Manuela\\Desktop\\WinAntiVirusPro2007FreeInstall(3).exe\" -nag "
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NWEReboot]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"=""
"hkey"="HKLM"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundService]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"
"item"="anbiurpq"
"hkey"="HKLM"
"command"="rundll32.exe \"C:\\WINDOWS\\system32\\anbiurpq.dll\",setvm"
"inimapping"="0"


[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{7F5FFCB8-4838-43CD-80EA-A7EC9C744281}"=""

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"InstallVisualStyle"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,52,65,73,6f,75,72,\
63,65,73,5c,54,68,65,6d,65,73,5c,52,6f,79,61,6c,65,5c,52,6f,79,61,6c,65,2e,\
6d,73,73,74,79,6c,65,73,00
"InstallTheme"=hex(2):43,3a,5c,57,49,4e,44,4f,57,53,5c,52,65,73,6f,75,72,63,65,\
73,5c,54,68,65,6d,65,73,5c,52,6f,79,61,6c,65,2e,74,68,65,6d,65,00

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\khfeefd

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0


[HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d1e66bd4-60e7-11db-84b2-0015c552e64d}]
Shell\AutoRun\command G:\starter.exe


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\McAfee.com - Virenscan - Mein Computer (SEPP-Julia).job


********************************************************************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

********************************************************************

Completion time: 07-04-15 21:20:33
C:\ComboFix-quarantined-files.txt ... 07-04-15 21:20


=================================================
=================================================


Hier die Logfiles:

--------system32
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C46F-8E40

Verzeichnis von C:\WINDOWS\system32

15.04.2007 21:12 50.868 nvapps.xml
15.04.2007 21:12 85.144 nvModes.001
15.04.2007 21:05 55.080 vsconfig.xml
15.04.2007 18:56 85.144 nvModes.dat
11.04.2007 12:03 4.212 zllictbl.dat
11.04.2007 11:39 531.407 gjkmp.ini
10.04.2007 18:39 510.504 gjkmp.bak2
10.04.2007 18:36 2.206 wpa.dbl
09.04.2007 15:10 506.616 gjkmp.bak1
08.04.2007 15:54 26.694 ddccddd.dll
08.04.2007 15:51 26.694 khfeefd.dll
25.03.2007 13:34 382.026 perfh009.dat
25.03.2007 13:34 64.802 perfc007.dat
25.03.2007 13:34 393.030 perfh007.dat
25.03.2007 13:34 53.770 perfc009.dat
25.03.2007 13:34 902.370 PerfStringBackup.INI
09.03.2007 01:02 54.936 vsutil_loc0407.dll
09.03.2007 01:02 18.072 imslsp_install_loc0407.dll
09.03.2007 01:02 22.168 imsinstall_loc0407.dll
09.03.2007 01:02 394.192 vsdatant.sys
09.03.2007 01:01 1.087.216 zpeng24.dll
09.03.2007 01:01 71.408 zlcommdb.dll
09.03.2007 01:01 100.080 vsxml.dll
09.03.2007 01:01 83.696 zlcomm.dll
09.03.2007 01:01 46.832 vswmi.dll
09.03.2007 01:01 472.816 vsutil.dll
09.03.2007 01:01 71.408 vsregexp.dll
09.03.2007 01:01 276.208 vspubapi.dll
09.03.2007 01:01 104.176 vsmonapi.dll
09.03.2007 01:01 83.696 vsdata.dll
09.03.2007 01:01 157.424 vsinit.dll
22.01.2007 22:17 34.064 lhacm.acm
26.12.2006 02:22 286.720 erasext.dll


--------system
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C46F-8E40

Verzeichnis von C:\WINDOWS

15.04.2007 21:26 477 win.ini
15.04.2007 21:26 227 system.ini
15.04.2007 21:12 394.153 WindowsUpdate.log
15.04.2007 21:06 0 0.log
15.04.2007 21:05 4.184 ModemLog_Conexant HDA D110 MDC V.92 Modem.txt
15.04.2007 21:05 2.048 bootstat.dat
15.04.2007 20:54 32.626 SchedLgU.Txt
15.04.2007 19:55 299.836 ntbtlog.txt
15.04.2007 19:16 50 wiaservc.log
15.04.2007 19:16 159 wiadebug.log
15.04.2007 18:57 982.936 setupapi.log
08.04.2007 00:42 106 drwatson.log
06.04.2007 17:38 98.304 system32CmdLineExt.dll
06.04.2007 17:30 116 NeroDigital.ini
06.04.2007 17:23 337.263 DirectX.log
27.03.2007 12:45 51.457 wmsetup.log
09.03.2007 01:02 42.648 zllsputility_loc0407.dll
09.03.2007 01:02 75.512 zllsputility.exe
23.02.2007 17:55 757 eReg.dat
21.01.2007 14:36 155 winamp.ini
26.12.2006 13:19 2.211 setupact.log


--------sys
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C46F-8E40

Verzeichnis von C:\

15.04.2007 21:31 0 sys.txt
15.04.2007 21:31 445 down.txt
15.04.2007 21:31 327 tmp.txt
15.04.2007 21:30 8.271 system.txt
15.04.2007 21:30 134 systemtemp.txt
15.04.2007 21:30 102.264 system32.txt
15.04.2007 21:26 209 boot.ini
15.04.2007 21:20 9.035 ComboFix.txt
15.04.2007 21:20 127 ComboFix-quarantined-files.txt
15.04.2007 21:05 2.145.845.248 hiberfil.sys
15.04.2007 19:43 6.892 VundoFix.txt
20.10.2006 16:38 4.128 INFCACHE.1

--------systemtemp
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C46F-8E40

Verzeichnis von C:\DOKUME~1\Tobias\LOKALE~1\Temp



--------tmp
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C46F-8E40

Verzeichnis von C:\WINDOWS\Temp

15.04.2007 21:05 256 ZLT03ba1.TMP
15.04.2007 21:05 256 ZLT03b9b.TMP
2 Datei(en) 512 Bytes
0 Verzeichnis(se), 18.392.248.320 Bytes frei



--------down

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C46F-8E40

Verzeichnis von C:\WINDOWS\Downloaded Program Files

20.08.2005 01:56 65 desktop.ini
10.06.2005 11:44 417.792 isusweb.dll
25.07.2002 19:13 24.576 dwusplay.dll
25.07.2002 19:13 196.608 dwusplay.exe
4 Datei(en) 639.041 Bytes
0 Verzeichnis(se), 18.392.248.320 Bytes frei
Dieser Beitrag wurde am 15.04.2007 um 21:45 Uhr von tobe88 editiert.
Seitenanfang Seitenende
16.04.2007, 07:47
Member
Avatar Chris4You

Beiträge: 694
#2 Hi,

start page internetexplorer: google.bearshare.com ...


Bitte prüfen lassen:
G:\starter.exe
http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
Also:
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat


Registry values to delete:


registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\khfeefd


Registry values to replace with dummy:


Files to delete:
C:\WINDOWS\system32\ddccddd.dll
C:\WINDOWS\system32\khfeefd.dll
C:\WINDOWS\system32\gjkmp.bak2
C:\WINDOWS\system32\gjkmp.bak1
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten



Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat


R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.bearshare.com/de/
O2 - BHO: (no name) - {08E8EC4C-663C-4BE8-AE2B-731BCBB385FA} - C:\WINDOWS\system32\mljjj.dll (file missing)
O2 - BHO: (no name) - {7F5FFCB8-4838-43CD-80EA-A7EC9C744281} - (no file)
O2 - BHO: (no name) - {DF6E3EEE-6524-4EA6-BDF6-C9399461432A} - C:\WINDOWS\system32\jkhfc.dll (file missing)
O20 - Winlogon Notify: khfeefd - C:\WINDOWS\



Zusätzliche Prüfung über Kaspersky:
Kaskpersky OnlineScanner
http://www.kaspersky.com/de/virusscanner

Poste alle Logs und ein neues Hijackthis-Log.



Chris
Seitenanfang Seitenende
16.04.2007, 20:25
...neu hier

Themenstarter

Beiträge: 4
#3 Hier die Logfiles von Avenger und HJT..
Des Programm hats tatsächlich geschafft die khfeefd.dll zu löschen!!..
habs nich mal im abgesicherten modus geschafft..

naja.. mal abwarten. die zeile
O20 - Winlogon Notify: khfeefd - C:\WINDOWS\
gabs bei hjt nicht mehr, die anderen gefixt. jetz lass ich noch kaspersky drüberlaufen und meld mich dann wieder...


--edit: Kasperky durchgelaufen, nix gefunden..

schon mal herzlichen Dank für die Hilfe!!


========================================================
Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\iubvykbs

*******************

Script file located at: \??\C:\jqbsownk.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\ddccddd.dll deleted successfully.
File C:\WINDOWS\system32\khfeefd.dll deleted successfully.
File C:\WINDOWS\system32\gjkmp.bak2 deleted successfully.
File C:\WINDOWS\system32\gjkmp.bak1 deleted successfully.
Registry key HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\khfeefd deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

==================================================

Logfile of HijackThis v1.99.1
Scan saved at 20:22:06, on 16.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\prg\DS\B14\intel_a\code\bin\CATSysDemon.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\SLEE11.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\stsystra.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Dell\QuickSet\quickset.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Creative\Mixer\CTSVolFE.exe
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\NetWaiting\netwaiting.exe
C:\Programme\Dell Support\DSAgnt.exe
C:\Programme\Eraser\eraser.exe
C:\Programme\Digital Line Detect\DLG.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Dokumente und Einstellungen\Tobias\Eigene Dateien\hj\hldhgsa.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www1.euro.dell.com/content/default.aspx?c=de&l=de&s=gen
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = www.google.de/ig/dell?hl=de&client=dell-row&channel=de&ibd=4061016
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: CBrowserHelperObject Object - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Programme\BAE\BAE.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVHotkey] rundll32.exe nvHotkey.dll,Start
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [MSKDetectorExe] C:\Programme\McAfee\SpamKiller\MSKDetct.exe /uninstall
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [Dell QuickSet] C:\Programme\Dell\QuickSet\quickset.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [CTSVolFE.exe] "C:\Programme\Creative\Mixer\CTSVolFE.exe" /r
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ModemOnHold] C:\Programme\NetWaiting\netwaiting.exe
O4 - HKCU\..\Run: [DellSupport] "C:\Programme\Dell Support\DSAgnt.exe" /startup
O4 - HKCU\..\Run: [Eraser] C:\Programme\Eraser\eraser.exe -hide
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Digital Line Detect.lnk = ?
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O18 - Filter: application/x-internet-signup - {A173B69A-1F9B-4823-9FDA-412F641E65D6} - C:\Programme\Tiscali\Tiscali Internet\dlls\tiscalifilter.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Programme\Dell\QuickSet\NICCONFIGSVC.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\RpcSandraSrv.exe
O23 - Service: Steganos Live Encryption Engine 11 [Service] (SLEE_11_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE11.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Programme\Intel\Wireless\Bin\WLKeeper.exe
Dieser Beitrag wurde am 16.04.2007 um 20:52 Uhr von tobe88 editiert.
Seitenanfang Seitenende
17.04.2007, 07:42
Member
Avatar Chris4You

Beiträge: 694
#4 Hi,

sollte sauber sein...

Chris
Seitenanfang Seitenende
17.04.2007, 14:41
...neu hier

Themenstarter

Beiträge: 4
#5 Sieht so aus als wäre nichts mehr da..
normal kams schon immer nach ca 5-10 min.
vundofix/antivir findet auch nichts mehr..


Vielen Vielen Dank für die Hilfe !!!!!!!!!!!!!!!!

aber was ich nicht verstehe: in den befehlszeilen die ich ausgeführt habe, stand was von löschen der khfeefd.dll in der registry. Die habe ich manuell auch schon gelöscht, und versucht die khfeefd zu löschen -> ging aber nicht.

Und warum hat des programm es geschafft die datei dann zu löschen??

MfG Tobias
Seitenanfang Seitenende
17.04.2007, 16:25
Member
Avatar Chris4You

Beiträge: 694
#6 Hallo,

weil sie bereits seid Systemstart/LogOn (siehe: ...\winlogon\notify\khfeefd) im Hintergrund lief, kannst Du sie nicht einfach löschen (steht im Speicher und ist von Windows gesperrt).
Gleichzeitig überwacht sie die Registery, und wenn Du sie rauslöscht setzt sie sich wieder rein :o)...
Das Programm löscht die Datei beim Startup d.h. wenn/bevor Windows lädt (nach den (rudimentären) Treibern), da läuft sie noch nicht. Gleichzeitig haut es die Reg.-Einträge raus :o))))). Ist wie bei bestimmten Installationen, bei den Du den Rechner neu starten musst, die kopieren dann auch die restlichen Dateien beim Systemstart, da die Zieldateien von Windows geladen/gesperrt sind...

Chris
Seitenanfang Seitenende
18.04.2007, 14:45
...neu hier

Themenstarter

Beiträge: 4
#7 k, danke für die Hilfe/Erklärung...
wieder bissl schlauer ;)

MfG Tobias
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: