trojan-proxy.win32.cimuz.cl auf meinem Computer!

#1 Hallo!

Habe mich schon durch die Hilfe gewühlt, brauche aber trotzdem Eure Hilfe, da die Einstellungen für einen Remove immer indivuell getroffen werden müssen. F-Secure meldet mir den Trojaner trojan-proxy.win32.cimuz.cl. Hier mein Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 12:15:12, on 26.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE
C:\Programme\F-Secure\BackWeb\7681197\program\fsbwsys.exe
C:\Programme\F-Secure\Common\FSMA32.EXE
C:\Programme\F-Secure\Anti-Virus\fssm32.exe
C:\Programme\F-Secure\Common\FSMB32.EXE
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\F-Secure\Common\FCH32.EXE
C:\WINDOWS\System32\alg.exe
C:\Programme\F-Secure\Common\FAMEH32.EXE
C:\Programme\F-Secure\Common\FNRB32.EXE
C:\Programme\F-Secure\FWES\Program\fsdfwd.exe
C:\Programme\F-Secure\Common\FIH32.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\F-Secure\Anti-Virus\fsav32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\F-Secure\Common\FSM32.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\F-Secure\FSGUI\fsguiexe.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\F-Secure\BackWeb\7681197\program\F-Secure Automatic Update.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtBty.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Dokumente und Einstellungen\Lehmänner\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PMCRemote] C:\Programme\Pinnacle\Shared Files\Programs\Remote\Remoterm.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [PMCS] "C:\Programme\Pinnacle\Shared Files\Programs\MediaCenterService\PMC.Service.Main.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: F-Secure Automatic Update.lnk = C:\Programme\F-Secure\BackWeb\7681197\program\F-Secure Automatic Update.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O20 - Winlogon Notify: OdysseyClient - C:\WINDOWS\
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: F-Secure Automatic Update (BackWeb Plug-in - 7681197) - BackWeb Technologies Inc. - C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Programme\F-Secure\Common\FNRB32.EXE
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure\BackWeb\7681197\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure\Common\FSMA32.EXE
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe

>>>>>Anmerkungen:

Bei LSPfix stehen folgende Dateien auf der Linken Seite:

mswsock.dll
winrnr.dll
nwprovau.dll
rsvpsp.dll

Rechts steht nichts

Hier die sechs Textdateien von datfind:

1) system32

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64AB-9521

Verzeichnis von C:\WINDOWS\system32

26.04.2007 11:47 2.000 iklog.log
25.04.2007 23:56 0 mhdb.mzo
25.04.2007 23:56 122.880 TMWSOCK.0LL
25.04.2007 23:53 2.733 fms.mzo
25.04.2007 23:08 1.626 fmls.mzo
24.04.2007 19:14 192.184 FNTCACHE.DAT
24.04.2007 08:34 8.704 sporder.dll
24.04.2007 08:34 90.624 A.0XE
24.04.2007 08:34 90.624 MSTSDSC.0XE
23.04.2007 22:48 2.206 wpa.dbl
25.03.2007 12:12 53.942 perfc009.dat
25.03.2007 12:12 383.588 perfh009.dat
25.03.2007 12:12 395.074 perfh007.dat
25.03.2007 12:12 64.994 perfc007.dat
25.03.2007 12:12 906.552 PerfStringBackup.INI
17.03.2007 15:44 293.376 winsrv.dll
09.03.2007 12:24 123.392 xpsp3res.dll
08.03.2007 17:36 579.072 user32.dll
08.03.2007 17:36 40.960 mf3216.dll
08.03.2007 17:36 281.600 gdi32.dll
08.03.2007 17:32 1.843.712 win32k.sys
28.02.2007 18:06 2.140.160 ntoskrnl.exe
28.02.2007 18:06 2.019.840 ntkrnlpa.exe
17.02.2007 03:28 122.142 TZLog.log
16.02.2007 11:54 49.152 QuickTime.qts
16.02.2007 11:54 65.536 QuickTimeVR.qtx
05.02.2007 22:18 185.856 upnphost.dll
29.01.2007 10:58 60.416 tzchange.exe
25.01.2007 14:52 617.472 urlmon.dll
23.01.2007 21:30 546.304 hhctrl.ocx
19.01.2007 13:53 51.056 sirenacm.dll
04.01.2007 15:41 664.576 wininet.dll
04.01.2007 15:41 474.624 shlwapi.dll
04.01.2007 15:41 1.494.528 shdocvw.dll
04.01.2007 15:41 532.480 mstime.dll
04.01.2007 15:41 39.424 pngfilt.dll
04.01.2007 15:40 146.432 msrating.dll
04.01.2007 15:40 448.512 mshtmled.dll
04.01.2007 15:40 3.077.632 mshtml.dll
04.01.2007 15:40 16.384 jsproxy.dll
04.01.2007 15:40 96.768 inseng.dll
04.01.2007 15:40 251.392 iepeers.dll
04.01.2007 15:40 205.312 dxtrans.dll
04.01.2007 15:40 55.808 extmgr.dll
04.01.2007 15:40 1.056.256 danim.dll
04.01.2007 15:40 357.888 dxtmsft.dll
04.01.2007 15:40 152.064 cdfview.dll
04.01.2007 15:40 1.023.488 browseui.dll
19.12.2006 23:49 135.168 shsvcs.dll
19.12.2006 23:49 8.494.592 shell32.dll
19.12.2006 20:17 334.336 wiaservc.dll
07.12.2006 08:40 2.362.184 wmvcore.dll
27.11.2006 16:54 433.152 riched20.dll
27.11.2006 16:54 539.136 msftedit.dll
23.11.2006 16:45 24.072 uxtuneup.dll
08.11.2006 07:06 679.424 inetcomm.dll
04.11.2006 15:14 1.245.696 msxml4.dll
01.11.2006 21:17 927.504 mfc40u.dll


2) systemtemp

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64AB-9521

Verzeichnis von C:\DOKUME~1\LEHMNN~1\LOKALE~1\Temp

26.04.2007 11:34 16.384 Perflib_Perfdata_a60.dat
21.04.2007 18:27 118 DFC5A2B2.TMP
17.10.2006 19:31 24.613 IadHide5.dll
3 Datei(en) 41.115 Bytes
0 Verzeichnis(se), 44.557.946.880 Bytes frei

3) windows

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64AB-9521

Verzeichnis von C:\WINDOWS

26.04.2007 11:39 40 SpywareDoctor5Install.log
26.04.2007 11:33 1.287.556 WindowsUpdate.log
26.04.2007 11:09 0 0.log
26.04.2007 11:09 2.048 bootstat.dat
26.04.2007 11:08 32.604 SchedLgU.Txt
26.04.2007 11:08 11.797 resetlog.txt
26.04.2007 08:58 44.802 setupapi.log
26.04.2007 00:20 50 wiaservc.log
26.04.2007 00:20 411 wiadebug.log
24.04.2007 23:28 22.528 CHI.0XE
24.04.2007 08:29 4.930 iis6.log
24.04.2007 08:29 6.222 ntdtcsetup.log
24.04.2007 08:29 10.254 comsetup.log
24.04.2007 08:29 1.374 imsins.log
24.04.2007 08:29 11.795 tsoc.log
24.04.2007 08:29 21.293 KB931784.log
24.04.2007 08:29 1.710 ocmsn.log
24.04.2007 08:29 14.580 ocgen.log
24.04.2007 08:29 1.545 msgsocm.log
24.04.2007 08:29 30.913 FaxSetup.log
24.04.2007 08:28 1.374 imsins.BAK
24.04.2007 08:28 13.983 KB931261.log
24.04.2007 08:28 14.598 KB925902.log
24.04.2007 08:28 2.197 updspapi.log
24.04.2007 08:28 13.013 KB930178.log
24.04.2007 08:28 12.831 KB932168.log
16.04.2007 15:03 230 NeroDigital.ini
12.04.2007 09:17 75 setupact.log
14.03.2007 22:32 687 Meine freigegebenen Ordner.lnk
02.02.2007 14:38 17 Missing.ini
11.01.2007 13:18 1.230.291 setupapi.log.0.old
07.01.2007 23:47 5.154 ModemLog_Standard 33600 bps Modem.txt
27.12.2006 00:09 98 WirelessFTP.INI
29.11.2006 00:02 112 init.ini
24.10.2006 20:30 381 wincmd.ini
17.10.2006 19:31 118.784 bwUnin-6.3.2.110-7681197L.exe
04.10.2006 23:22 2.064 ModemLog_HDAUDIO Soft Data Fax Modem with SmartCP.txt
03.10.2006 11:29 316.640 WMSysPr9.prx
02.10.2006 20:26 400 ODBC.INI
02.10.2006 20:26 610 win.ini
01.10.2006 18:57 0 tosOBEX.INI
01.10.2006 18:36 0 nsreg.dat
01.10.2006 18:36 2.266 mozver.dat
01.10.2006 16:29 0 Sti_Trace.log
01.10.2006 16:27 231 system.ini
01.10.2006 16:26 0 setuperr.log
01.10.2006 15:49 829 OEWABLog.txt
01.10.2006 15:46 8.192 REGLOCS.OLD
01.10.2006 15:37 0 control.ini
01.10.2006 15:37 4.161 ODBCINST.INI
01.10.2006 15:36 749 WindowsShell.Manifest
01.10.2006 15:34 36 vb.ini
01.10.2006 15:34 37 vbaddin.ini
26.07.2006 06:55 545 RAR.PIF
26.07.2006 06:55 545 ARJ.PIF
26.07.2006 06:55 545 PKUNZIP.PIF
26.07.2006 06:55 545 LHA.PIF
26.07.2006 06:55 545 PKZIP.PIF
26.07.2006 06:55 545 NOCLOSE.PIF
26.07.2006 06:55 545 UC.PIF

4) temp

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64AB-9521

Verzeichnis von C:\WINDOWS\Temp

22.04.2007 17:07 118 DFC5A2B2.TMP
17.10.2006 19:31 24.613 IadHide5.dll
2 Datei(en) 24.731 Bytes
0 Verzeichnis(se), 44.557.942.784 Bytes frei

5) down

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64AB-9521

Verzeichnis von C:\WINDOWS\Downloaded Program Files

01.10.2006 15:36 65 desktop.ini
1 Datei(en) 65 Bytes
0 Verzeichnis(se), 44.557.938.688 Bytes frei

6) c

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: 64AB-9521

Verzeichnis von C:\

26.04.2007 12:36 0 sys.txt
26.04.2007 12:36 296 down.txt
26.04.2007 12:35 327 tmp.txt
26.04.2007 12:34 5.514 system.txt
26.04.2007 12:34 408 systemtemp.txt
26.04.2007 12:32 99.098 system32.txt
26.04.2007 11:34 30.474 checkrun.txt
26.04.2007 11:09 1.598.029.824 pagefile.sys
01.10.2006 15:56 1.396 FSC-DeskUpdate.txt
01.10.2006 15:56 86 setup.log
01.10.2006 15:37 0 MSDOS.SYS
01.10.2006 15:37 0 CONFIG.SYS
01.10.2006 15:37 0 IO.SYS
01.10.2006 15:37 0 AUTOEXEC.BAT
01.10.2006 15:32 211 boot.ini
04.08.2004 14:00 4.952 bootfont.bin
04.08.2004 14:00 47.564 NTDETECT.COM
04.08.2004 14:00 251.184 ntldr
18 Datei(en) 1.598.471.334 Bytes
0 Verzeichnis(se), 44.557.934.592 Bytes frei


Soweit erstmal meine Vorarbeit!

Vielleicht erbarmt sich jemand... habe nämlich gar keine Ahnung was ich nun machen soll. Vieeelen Dank im Voraus!

#2 Wo meldet F-secure denn was genau?

Diese Dateien solltest du loeschen im system32 Ordner:

25.04.2007 23:56 122.880 TMWSOCK.0LL
24.04.2007 08:34 8.704 sporder.dll
24.04.2007 08:34 90.624 A.0XE
24.04.2007 08:34 90.624 MSTSDSC.0XE

Ich denke mal, das das die obigen 3 sind(sporder.dll ist an sich sauber) und vieleicht dinge aus der Systemwiederherstellung....
__________
MfG Ralf
SEO-Spam Hunter

#3 F-Secure meldet sich wenn ich firefox öffne. wie lösche ich die vier dateien denn am besten?

Nachtrag:

Habe die die Dateien mit Avanger gelöscht. Bekomme jetzt keine Meldungen mehr... es scheint funktioniert zu haben!!! Viiiielen Dank!

#4 Mit dem Explorer einfach rechte Maustaste auf die Datei und loeschen waehlen.

Starte Firefox, gehe auf extras/ private Daten loeschen und loesche zumindestens Cache und cookies.

Du kannst aber auch cleaner dafuer nehmen.

Die Frage bleibt, wo in welcher Datei und in welchem Ordner meldet F-secure die Datei!?
__________
MfG Ralf
SEO-Spam Hunter

#5 Habe die Dateien mit Avanger gelöscht. Bekomme jetzt keine Meldung mehr von F-Secure. Kann Dir deshalb auch nicht sagen. In welcher Datei der Trojaner war. Wenn es jetzt jedoch keine Meldung mehr gibt, spricht doch vieles dafür, dass er in den von dir vorgeschlagenen Dateien war, oder?

#6 Du kannst noch mit Drweb cureit einen Kontrollscan machen, aber ich denke, das passt: http://freedrweb.com/?lng=de .
__________
MfG Ralf
SEO-Spam Hunter

#7 Scheint tatsächlich weg zu sein. vielen lieben dank!