Your computer ist infected - Windows 2000

#1 Hallo helfende Gemeinde!

Habe auch das Problem, daß ca jede Minute oben angegebene Meldung auftaucht - Windows has detected spyware infection wiht corrupted registry.

Seit 2 Tagen kann ich jetzt auch keine Internetverbindung (mit Modem) bekommen. Möglicherweise wird es nicht mehr initialisiert, was auch mit diesem Spyware-Fehler zusammen hängen kann.
Habe nun das Logfile wie erwünscht erstellt. Wäre toll, wenn dies einfach zu lösen wäre.
Besten Dank.

Logfile of HijackThis v1.99.1
Scan saved at 21:09:39, on 29.04.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\WEB.DE\WEB.DE SmartSurfer\SmartSurfer.exe
C:\Programme\Outlook Express\msimn.exe
C:\Dokumente und Einstellungen\Jürgen Längl\Anwendungsdaten\U3\0D813A6143406947\LaunchPad.exe
C:\PROGRA~1\IZArc\IZArc.exe
C:\DOKUME~1\JRGENL~1\LOKALE~1\Temp\ARC9\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.wallstreet-online.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINNT\system32\ipv6monl.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Office Monitors] C:\WINNT\system32\GoogleUpdater.exe
O4 - HKLM\..\Run: [Windll] C:\WINNT\windll.exe
O4 - HKLM\..\Run: [Offices Monitorse] C:\WINNT\system32\algose32.exe
O4 - HKLM\..\Run: [Winamp Media] C:\WINNT\system32\qmedia.exe
O4 - HKLM\..\Run: [tcpipmon] tcpipmon.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Office Monitors] C:\WINNT\system32\GoogleUpdater.exe
O4 - HKCU\..\Run: [Acrobat Read] C:\WINNT\system32\acroup32.exe
O4 - HKCU\..\Run: [Offices Monitorse] C:\WINNT\system32\algose32.exe
O4 - HKCU\..\Run: [Winamp Media] C:\WINNT\system32\qmedia.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O20 - Winlogon Notify: rpcc - C:\WINNT\system32\rpcc.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe

Grüsse
Jürgen

#2 Da ist nicht mehr viel zu machen. Dein System ist total durchseucht. Suche mal im system32 Ordner nach einer Datei namens form.txt und schau sie dir an. Dort findest du die Dinge, die einer der auf deinem Rechner vorhandenen Trojanern, gelogt und wohl schon verschickt hat.
__________
MfG Ralf
SEO-Spam Hunter

#3 Junge Junge, da hast du dir aber gut was eingefangen. Also:
neu aufsetzen oder versuchen die Kiste frei zu bekommen ???

#4 Danke vielmals für die Hilfeversuche! Also ich habe nun die form.txt angeschaut und ausgedruckt. Was sagt mir nun dieser Dateiinhalt?

Eine andere Frage: Ich habe erst vor einigen Wochen Windows neu aufgesetzt,weil es verseucht war. Nun schon wieder.
Liegt das Problem auch daran, daß ich noch analog via Modem ins Netz muss, oder warum ist mein Computer immer wieder so schnell verseucht?

Besten Dank für Eure freundliche Hilfe.

Gruss
Jürgen


Anbei die Datei form.txt:---------------------------------------------
CompID: 540FBA4AC82544C18A705DAD7EB40498F85480662F4D4D3C95D13A325164403A
Ver: 3.9.44
host: PC1600
if1 : 217.185.1.188
---------------------------------------------

--------------------------------------------- Wed Apr 25 22:22:32 2007
URL: http://www.salesbusiness.de/index.php?do=show&id=6581&alloc=172

Action:
Method: get
menu(select): [checked]

Action: index.php
Method: post
q(text):

Action: index.php
Method: post
email(text): E-Mail-Adresse

Action: http://www.hotel.de/search.aspx?afenc=iso-8859-1&pcon=1&nsad=1&ssnr=4890&han=2058585&mrf=salesbusiness&lng=DE
Method: post
hs_destination(text):


--------------------------------------------- Wed Apr 25 22:25:33 2007
URL: http://www.salesbusiness.de/index.php?do=show&id=6581&alloc=172

Action:
Method: get
menu(select): [checked]

Action: index.php
Method: post
q(text):

Action: index.php
Method: post
email(text): E-Mail-Adresse

Action: http://www.hotel.de/search.aspx?afenc=iso-8859-1&pcon=1&nsad=1&ssnr=4890&han=2058585&mrf=salesbusiness&lng=DE
Method: post
hs_destination(text):

#5 Hi,
also nochmal zu deinem HJT, ich sehe erstmal keinen Laufenden Prozess der auf eine aktive Firewall hindeutet. Dann schient dien IE nicht der neueste zu sein.
aber soweit, über dein anhang kann ich nicht viel sagen, da kenn ich mich nicht so aus.
Allerdings müsstest du n paar Programme drüber laufen lassen:
- Antivir
- ClamWin
- CCleaner
- Spybot search & destroy

und dann posten, sowie danach nochmal einen HJT. Aber erstmal vll, hast du ne Firewallm, wenn nein, die erstmaldrauf machen...

#6 @jürgen
die Seite von http://www.salesbusiness.de/ ist verseucht aber die wissen es nicht
__________
MfG Argus

#7 @ Arnold

vll. wäre es sinvoll, den Seitenbesitzer zu informieren ??

#8 Hallo,

wen Du willst prüfe folgende Dateien, ob die Vermutung stimmt über einen Onlinescanner, z. B. (virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html
) und zwar folgende Dateien:

Zitat

C:\WINNT\system32\algose32.exe (W32/Rbot-GKQ)
C:\WINNT\system32\acroup32.exe (Troj/VanBot-BQ)
C:\WINNT\system32\taskman.exe (")
C:\WINNT\taskman.exe (")
C:\WINNT\system32\GoogleUpdater.exe
C:\WINNT\windll.exe
O20 - Winlogon Notify: rpcc - C:\WINNT\system32\rpcc.dll (TR/Proxy.Dlena.AT)
C:\WINNT\system32\ipv6monl.dll (Troj/Cimuz-AW)
<Temp>\10320054.gif (")
C:\WINNT\system32\hook.dll (")
C:\WINNT\system32\ipv6monl.dll (")
C:\WINNT\system32\msn.exe (")

Diese Dateien sind dann über den Avenger zu löschen, samt den Registeryeinträgen, den Rest dann im abgesicherten Modus (Beim Booten F8 drücken) mit dem HiJackthis zu fixen.

Um detaillierter Vorgehen zu können, fehlen noch folgende Infos (ausser Hijackthis):
http://board.protecus.de/t23188.htm
- Erstellen eines Hijackthis-Logfiles
- CleanUp (temporaeren Dateien loeschen)
- Combofix
- Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten)

Allerdings, bei der Schwere des Befalls sollte man das System neu aufsetzen...

Chris

#9 Hab dir eben eine PM gescickt
__________
MfG Argus

#10 Hi,

falls die Dateien erkannt werden, wie folgt vorgehen (ohne Gewähr ;o):

virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu

prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Zitat

C:\WINNT\system32\internat.exe
C:\WINNT\system32\qmedia.exe

Falls eine der Dateien erkannt wird,
bei Files to delete und im Hijackthis
aufnehmen...

Also:
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat

Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Windll
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Offices Monitorse
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|tcpipmon
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Acrobat Read
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Office Monitors


registry keys to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rpcc

Registry values to replace with dummy:


Files to delete:
C:\WINNT\system32\algose32.exe
C:\WINNT\system32\acroup32.exe
C:\WINNT\system32\taskman.exe
C:\WINNT\taskman.exe
C:\WINNT\system32\GoogleUpdater.exe
C:\WINNT\windll.exe
C:\WINNT\system32\rpcc.dll
C:\WINNT\system32\ipv6monl.dll
C:\WINNT\system32\hook.dll
C:\WINNT\system32\msn.exe
C:\WINNT\system32\tcpipmon.exe
C:\WINNT\tcpipmon.exe

Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten


Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat

O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINNT\system32\ipv6monl.dll
O4 - HKLM\..\Run: [Windll] C:\WINNT\windll.exe
O4 - HKLM\..\Run: [Offices Monitorse] C:\WINNT\system32\algose32.exe
O4 - HKLM\..\Run: [tcpipmon] tcpipmon.exe
O4 - HKCU\..\Run: [Office Monitors] C:\WINNT\system32\GoogleUpdater.exe
O4 - HKCU\..\Run: [Acrobat Read] C:\WINNT\system32\acroup32.exe
O4 - HKCU\..\Run: [Offices Monitorse] C:\WINNT\system32\algose32.exe

scanne mit ewido und poste den scanreport
http://virus-protect.org/onlinescan.html

Chris

#11

Zitat

Juergen62 postete
Danke vielmals für die Hilfeversuche! Also ich habe nun die form.txt angeschaut und ausgedruckt. Was sagt mir nun dieser Dateiinhalt?

Das sind aufzeichnungen des Trojaners, wo du ueberall gewesen bist und was du dort eingetippt hast. Diese Informatioenen werden von Zeit zu Zeit an einen Server geschickt und nach Informatioenen wie TAN/PIN Kreditkartennummern, Passworte und aehnlichem durchsucht.
__________
MfG Ralf
SEO-Spam Hunter

#12 @ raman

erkennen tu ich da aber nichts, ist das dann nochmal in ner anderen From, die man
erst "entschlüsseln" muss ?

#13 Nein, das ist klartext und das ist das, wo Juergen62 "hingesurft" ist am "Wed Apr 25 22:22:32 2007"

Als erstes siehst du, das dem Rechner eine eigene Pruefsumme/ID zugeteilt wurde, die IP Adresse wurde geloggt und der Name des Rechners.
__________
MfG Ralf
SEO-Spam Hunter

#14

Zitat

Action:
Method: get
menu(select): [checked]

Action: index.php
Method: post
q(text):

Action: index.php
Method: post
email(text): E-Mail-Adresse

Action: http://www.hotel.de/search.aspx?afenc=iso-8859-1&pcon=1&nsad=1&ssnr=4890&han=2058585&mrf=salesbusiness&lng=DE
Method: post
hs_destination(text):

steht das dann dafür, was er gemacht hat ?

weil wenn das alles ist, sieht es ja nicht so aus, als ob da Passwörter oder so drin sind...

#15 Ein keylogger/Formgrabber ist "doof" der loggt alles, was bestimmten Dingen folgt. Wie der Besuch von https Seiten. Uebertragung/Uebermittlung von Daten(Post/Get) usw.
__________
MfG Ralf
SEO-Spam Hunter