Internetverbindung wird selbstständig hergestellt

#0
14.05.2007, 20:44
...neu hier

Beiträge: 10
#1 Hallo,
mein Rechner stellt Internetverbindungen selbständig her .Hab Antivier laufen lassen das hat ne jkklk.dll gefunden kann diese aber nicht löschen bitte um
Hilfe der Profis.Anbei die Logs danke schon mal im Vorfeld.
Mfg Verbatus

Logfile of HijackThis v1.99.1
Scan saved at 18:44:51, on 14.05.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft SQL Server\MSSQL$CENTROSQL\Binn\sqlservr.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
c:\programme\gemeinsame dateien\vidicom\vcmserver.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\RunDll32.exe
C:\WINNT\system32\ofclxn.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free\sdrmon.exe
C:\Programme\Gemeinsame Dateien\Error Safe\erscw.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\WINNT\explorer.exe
C:\Virus\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {92335157-984B-4692-8405-530335CA9F27} - C:\WINNT\system32\swkesyrm.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: (no name) - {74DD705D-6834-439C-A735-A6DBE2677452} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINNT\system32\logon.exe
O4 - HKLM\..\Run: [Services] C:\WINNT\system32\ofclxn.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [SDR6U_Check] "C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free\sdrmon.exe"
O4 - HKLM\..\Run: [ERS_check] "C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006\ers_startupmon.exe"
O4 - HKLM\..\Run: [DC6_check] "C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006\dc6_startupmon.exe"
O4 - HKLM\..\Run: [erscw] C:\Programme\Gemeinsame Dateien\Error Safe\erscw.exe -c
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Error Safe] C:\Programme\Error Safe\ers.exe /min
O4 - HKCU\..\Run: [AdwareProtector] C:\Programme\Error Safe\AdwareProtector.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: SEAGULL J Walk Java Client 4_0C10 - http://www.schottautoteile.de/jwalk/jwalk_ie.cab
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://cdn.drivecleaner.com/installdrivecleanerstart_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1165740664812
O16 - DPF: {693F0F29-1D1F-4EDF-B5A8-E8852FF195DE} (SEAGULL J Walk Printer Client) - http://www.schottautoteile.de/jwalk/jwalk_printerclient_ie.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{81F4B4C0-94C2-4EF5-B038-101E86CE4A12}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Windows NT Session Manager (SMSS) - Unknown owner - C:\WINNT\system\smss.exe (file missing)
O23 - Service: vidicom Server - vidicom GmbH - c:\programme\gemeinsame dateien\vidicom\vcmserver.exe

"Verbatus" - 14.05.2007 18:33:35 Service Pack 4
ComboFix 07-05.13.V - Running from: "C:\Virus\"


(((((((((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINNT\system32\kgebfxar.dll
C:\WINNT\system32\khfffcd.dll
C:\WINNT\system32\ljjhfgd.dll
C:\WINNT\system32\oehpjbam.dll
C:\WINNT\system32\trnrpcxv.dll
C:\WINNT\system32\vtustro.dll
C:\WINNT\system32\klkkj.bak1
C:\WINNT\system32\klkkj.bak2
C:\WINNT\system32\klkkj.ini
C:\WINNT\system32\klkkj.ini2
C:\WINNT\system32\klkkj.tmp
C:\WINNT\system32\raxfbegk.ini
C:\WINNT\system32\jkklk.dll
C:\WINNT\system32\jkkijgd.dll


* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *



(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINNT\system32\W001T32W.DLL
C:\WINNT\system32\W006T32W.DLL
C:\WINNT\system32\W007T32W.DLL
C:\WINNT\system32\W008T32W.DLL
C:\WINNT\system32\W020T32W.DLL
C:\WINNT\system32\W021T32W.DLL
C:\6.exe
C:\DOKUME~1\Verbatus\ANWEND~1.\searchtoolbarcorp\Toolbar Vision\PageHistory.txt
C:\DOKUME~1\Verbatus\ANWEND~1.\searchtoolbarcorp\Toolbar Vision\WebHistory.txt
C:\WINNT\system32\crypts.dll
C:\WINNT\system\smss.exe
C:\DOKUME~1\Verbatus\ANWEND~1.\searchtoolbarcorp
C:\Programme\vsadd-in
C:\WINNT\system32\rpcc.dll


((((((((((((((((((((((((((((((( Files Created from 2007-04-05 to 2007-05-14 ))))))))))))))))))))))))))))))))))


2007-05-14 18:37 16,384 --a----t- C:\WINNT\system32\Perflib_Perfdata_268.dat
2007-05-14 17:53 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Spybot - Search & Destroy
2007-05-14 17:50 <DIR> d-------- C:\Virus
2007-05-08 16:12 125,716 --a------ C:\WINNT\system32\ynyqfycv.dll
2007-05-07 13:03 <DIR> d-------- C:\WINNT\Favoriten
2007-05-03 09:22 125,716 --a------ C:\WINNT\system32\uocrqqkq.dll
2007-05-02 09:22 125,716 --a------ C:\WINNT\system32\altwbbag.dll
2007-04-27 18:09 125,716 --a------ C:\WINNT\system32\ftkkttvx.dll
2007-04-26 18:09 125,716 --a------ C:\WINNT\system32\ctjtfqxa.dll
2007-04-26 09:11 43,796 --a------ C:\WINNT\system32\xmwrslsf.dll
2007-04-25 18:09 125,716 --a------ C:\WINNT\system32\vgcocauw.dll
2007-04-25 08:23 11,776 --a------ C:\WINNT\system32\drivers\wasfsd.sys
2007-04-20 14:14 81,172 --a------ C:\WINNT\system32\swkesyrm.dll
2007-04-16 11:24 40 -rah----- C:\WINNT\ssystda.dat
2007-04-16 11:24 <DIR> d-------- C:\TECDOC_LCD


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))


2007-05-14 16:03:21 -------- d---a-w C:\Programme\Lexmark X1100 Series
2007-05-08 16:43:17 -------- d-----w C:\Programme\Error Safe
2007-04-16 09:29:57 -------- d--h--w C:\Programme\InstallShield Installation Information
2007-04-16 09:23:35 -------- d---a-w C:\Programme\Gemeinsame Dateien\InstallShield
2007-04-11 06:42:42 -------- d---a-w C:\Programme\CENTROdigital
2007-04-11 06:41:44 -------- d---a-w C:\Programme\Gemeinsame Dateien\vidicom
2007-02-27 08:03:00 80,660 ----a-w C:\WINNT\system32\xgqjrvgc.dll
2007-02-14 14:33:52 253,952 ------w C:\WINNT\Setup1.exe
2007-02-14 14:33:49 74,752 ----a-w C:\WINNT\ST6UNST.EXE


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx [01-03-02 13:02 ]
{53707962-6F74-2D53-2644-206D7942484F}=C:\Programme\Spybot - Search & Destroy\SDHelper.dll [05-05-31 01:04 ]
{92335157-984B-4692-8405-530335CA9F27}=C:\WINNT\system32\swkesyrm.dll [07-04-20 14:14 ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]
"Synchronization Manager"="mobsync.exe /logon"
"Cmaudio"="RunDll32 cmicnfg.cpl,CMICtrlWnd"
"Windows Logon Application"="C:\\WINNT\\system32\\logon.exe"
"Services"="C:\\WINNT\\system32\\ofclxn.exe"
"Lexmark X1100 Series"="\"C:\\Programme\\Lexmark X1100 Series\\lxbkbmgr.exe\""
"Arcor Online"=""
"SDR6U_Check"="\"C:\\Programme\\Gemeinsame Dateien\\DriveCleaner 2006 Free\\sdrmon.exe\""
"ERS_check"="\"C:\\Programme\\Gemeinsame Dateien\\WinAntiVirus Pro 2006\\ers_startupmon.exe\""
"DC6_check"="\"C:\\Programme\\Gemeinsame Dateien\\WinAntiVirus Pro 2006\\dc6_startupmon.exe\""
"erscw"="C:\\Programme\\Gemeinsame Dateien\\Error Safe\\erscw.exe -c"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [03-06-19 13:05 C:\WINNT\system32\mobsync.exe])
"Cmaudio"="cmicnfg.cpl" [])
"Windows Logon Application"="C:\WINNT\system32\logon.exe" []
"Services"="C:\WINNT\system32\ofclxn.exe" [06-12-10 19:56 ]
"Lexmark X1100 Series"="C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe" [03-08-19 16:51 ]
"Arcor Online"="" [])
"SDR6U_Check"="C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free\sdrmon.exe" [06-12-07 20:20 ]
"ERS_check"="C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006\ers_startupmon.exe" []
"DC6_check"="C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006\dc6_startupmon.exe" []
"erscw"="C:\Programme\Gemeinsame Dateien\Error Safe\erscw.exe" [06-09-27 15:36 ]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [99-12-10 15:00 C:\WINNT\system32\internat.exe])
"Arcor Online"="" [])
"Error Safe"="C:\Programme\Error Safe\ers.exe" []
"AdwareProtector"="C:\Programme\Error Safe\AdwareProtector.exe" [06-12-28 15:14 ]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [05-05-31 01:04 ]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]
"internat.exe"="internat.exe"
"Arcor Online"=""
"Error Safe"="C:\\Programme\\Error Safe\\ers.exe /min"
"AdwareProtector"="C:\\Programme\\Error Safe\\AdwareProtector.exe"
"SpybotSD TeaTimer"="C:\\Programme\\Spybot - Search & Destroy\\TeaTimer.exe"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"^SetupICWDesktop"="C:\\Programme\\Internet Explorer\\Connection Wizard\\icwconn1.exe /desktop"

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"internat.exe"="internat.exe"


HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa
Authentication Packages msv1_0\0\0
Security Packages kerberos\0msv1_0\0schannel\0\0
Notification Packages scecli\0\0




[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost]
rpcss RpcSs\0\0
wugroup wuauserv\0\0
BITSgroup BITS\0\0

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost


********************************************************************

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-05-14 18:37:53
Windows 5.0.2195 Service Pack 4 NTFS

scanning hidden processes ...

CMD.EXE [1320]

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...


scan completed successfully
hidden processes: 1
hidden services: 0
hidden files: 0


********************************************************************

Completion time: 2007-05-14 18:38:59 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 07-05-14 18:38

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 0C4A-0CF3

Verzeichnis von C:\

14.05.2007 18:42 0 sys.txt
14.05.2007 18:42 1.126 down.txt
14.05.2007 18:42 119 tmp.txt
14.05.2007 18:42 10.324 system.txt
14.05.2007 18:42 304 systemtemp.txt
14.05.2007 18:42 97.854 system32.txt
14.05.2007 18:38 7.466 ComboFix.txt
14.05.2007 18:38 4.072 ComboFix-quarantined-files.txt
14.05.2007 18:36 352.321.536 pagefile.sys
14.05.2007 17:50 1.536 MKDE.TRN
08.05.2007 20:14 17.528 Virus.txt
08.05.2007 20:13 0 Neu Textdatei.txt
24.04.2007 08:17 5.491 ads_err.dbf
02.02.2007 19:26 186 TVExport.TxT
02.02.2007 19:16 162 ~$Export.RTF
02.02.2007 19:16 1.933 TVExport.RTF
02.02.2007 19:15 1.998 TVExport.HTM

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 0C4A-0CF3

Verzeichnis von C:\WINNT\Downloaded Program Files

10.12.2006 00:01 65 desktop.ini
09.11.2006 15:36 5.019 swflash.inf
27.09.2006 20:40 85.504 UERSU_9999_N91S2009NetInstaller.exe
07.09.2006 13:29 141.824 UDC6U_0001_D19M0709NetInstaller.exe
15.08.2006 15:08 82.432 UWAS6_0001_N91M1508NetInstaller.exe
21.07.2006 15:58 86.528 UWA6PU_0001_N91M2107NetInstaller.exe
18.07.2006 20:08 82.432 UWA6P_0001_N91M1807NetInstaller.exe

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 0C4A-0CF3

Verzeichnis von C:\WINNT\TEMP

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 0C4A-0CF3

Verzeichnis von C:\WINNT

14.05.2007 18:37 1.227.267 WindowsUpdate.log
14.05.2007 18:26 32.568 SchedLgU.Txt
14.05.2007 18:24 1.009.122 ShellIconCache
14.05.2007 18:20 294 lexstat.ini
14.05.2007 17:50 345.105 setupapi.log
14.05.2007 17:05 10.136 Werbas.ini
14.05.2007 13:48 1.434 Werbas.log
10.05.2007 16:49 2.470 EventSystem.log
08.05.2007 20:22 44.172 ntbtlog.txt
23.04.2007 14:38 10.850 jw9p.GID
21.04.2007 03:52 86.528 catchme.exe
16.04.2007 11:42 40 ssystda.dat
16.04.2007 11:29 3.671.316 OfflineCatalogue_2_2007_TECDOC_LCD.log
09.03.2007 19:52 1.427 IE4 Error Log.txt
16.02.2007 15:45 835 ODBC.INI
14.02.2007 16:33 253.952 Setup1.exe
14.02.2007 16:33 74.752 ST6UNST.EXE
17.01.2007 16:36 2.719 RBuilder.ini
12.01.2007 12:17 605 win.ini
11.01.2007 19:40 4 avcom.log
03.01.2007 13:41 32.389 KB917953.log
03.01.2007 13:40 19.221 KB904706.log
03.01.2007 13:40 6.641 KB923980.log
03.01.2007 13:30 37.754 KB921398.log
03.01.2007 13:29 79.881 KB920958.log
03.01.2007 13:28 37.771 KB922616.log

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 0C4A-0CF3

Verzeichnis von C:\DOKUME~1\JENSMA~1\LOKALE~1\Temp

14.05.2007 18:42 40.960 rtdrvmon.exe
1 Datei(en) 40.960 Bytes
0 Verzeichnis(se), 41.645.398.016 Bytes frei

Datentr„ger in Laufwerk C: hat keine Bezeichnung.
Datentr„gernummer: 0C4A-0CF3

Verzeichnis von C:\WINNT\system32

14.05.2007 18:37 16.384 Perflib_Perfdata_268.dat
14.05.2007 18:33 1.485.314 vcyfqyny.ini
08.05.2007 16:12 125.716 ynyqfycv.dll
08.05.2007 16:10 1.484.525 nmdgrsnj.ini
07.05.2007 14:34 1.484.405 qokhgkos.ini
04.05.2007 10:51 1.368 iageusxy.ini
03.05.2007 09:22 125.716 uocrqqkq.dll
02.05.2007 09:22 125.716 altwbbag.dll
27.04.2007 18:10 125.716 ftkkttvx.dll
26.04.2007 18:09 125.716 ctjtfqxa.dll
26.04.2007 10:10 143 mcrh.tmp
26.04.2007 09:11 43.796 xmwrslsf.dll
25.04.2007 18:09 125.716 vgcocauw.dll
20.04.2007 14:14 81.172 swkesyrm.dll
02.04.2007 14:21 428.032 swreg.exe
27.02.2007 10:04 295 ublcnypx.ini
27.02.2007 10:03 80.660 xgqjrvgc.dll
19.01.2007 17:06 244.232 MSFLXGRD.OCX
12.01.2007 08:55 232.776 FNTCACHE.DAT
Seitenanfang Seitenende
15.05.2007, 08:16
Member
Avatar Chris4You

Beiträge: 694
#2 Hi,

- Drivecleaner über Systemsteuerung/Software deinstallieren,
- Nutze Vundofix: http://virus-protect.org/artikel/tools/vundofixx.html
- und danach nochmal combofix: http://virus-protect.org/artikel/tools/combofix.html

Poste bitte beide Logs, danach neues Hijackthis-Log.

Die Infektion reicht auf den 08.05. zurück...(das gab genügend Zeit vertrauliche Daten [Passwörter etc.] zu "exportieren") ...

Chris
Seitenanfang Seitenende
15.05.2007, 20:06
...neu hier

Themenstarter

Beiträge: 10
#3 Hallo Chris
Ich werd das morgen abend machen da der betroffene PC nicht hier am Platz steht ,aber ich bin mir fast sicher das Drivecleaner nicht in der Software Liste ist. Kannst du vieleicht schon grob einschätzen ob der Pc zu retten ist?
Besten Dank schonmal für die schnelle Antwort.
PS der 8.5 war der zeitpunkt wo hab Antivier probiert im abgesicherten Modus ich denk das deswegen das datum weil prob schon länger.
Mfg Verbatus
Dieser Beitrag wurde am 15.05.2007 um 21:35 Uhr von Verbatus editiert.
Seitenanfang Seitenende
16.05.2007, 09:44
Member
Avatar Chris4You

Beiträge: 694
#4 Hi,

ja der Vundo ist zwar ein hartnäckiges Vieh (Tschulidung),
aber der PC sollte zu retten sein, wenn nichts Neues mehr hinzugekommen ist...

Chris
Seitenanfang Seitenende
16.05.2007, 19:35
...neu hier

Themenstarter

Beiträge: 10
#5 Hallo,

-Drivecleaner taucht in Systemsteuerung Software nicht auf konnte ich nicht deinstallieren die datei C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free\sdrmon.exe ist als einzige vorhanden
-Vundofix scan war ohne erfolg nichts gefunden
-hab combofix dann nochmal gestartet hier die Logs

Logfile of HijackThis v1.99.1
Scan saved at 18:14:03, on 16.05.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\LEXBCES.EXE
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\LEXPPS.EXE
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Microsoft SQL Server\MSSQL$CENTROSQL\Binn\sqlservr.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
c:\programme\gemeinsame dateien\vidicom\vcmserver.exe
C:\WINNT\system32\RunDll32.exe
C:\WINNT\system32\ofclxn.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free\sdrmon.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\Programme\Gemeinsame Dateien\Error Safe\erscw.exe
C:\WINNT\system32\internat.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Error Safe\AdwareProtector.exe
C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Error Safe\wasffNT.exe
C:\WINNT\system32\NOTEPAD.EXE
C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free\sdrmon.exe
C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free\sdrmon.exe
C:\WINNT\explorer.exe
C:\Virus\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msn.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {92335157-984B-4692-8405-530335CA9F27} - C:\WINNT\system32\swkesyrm.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: (no name) - {74DD705D-6834-439C-A735-A6DBE2677452} - (no file)
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Windows Logon Application] C:\WINNT\system32\logon.exe
O4 - HKLM\..\Run: [Services] C:\WINNT\system32\ofclxn.exe
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [SDR6U_Check] "C:\Programme\Gemeinsame Dateien\DriveCleaner 2006 Free\sdrmon.exe"
O4 - HKLM\..\Run: [ERS_check] "C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006\ers_startupmon.exe"
O4 - HKLM\..\Run: [DC6_check] "C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2006\dc6_startupmon.exe"
O4 - HKLM\..\Run: [erscw] C:\Programme\Gemeinsame Dateien\Error Safe\erscw.exe -c
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Error Safe] C:\Programme\Error Safe\ers.exe /min
O4 - HKCU\..\Run: [AdwareProtector] C:\Programme\Error Safe\AdwareProtector.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O16 - DPF: SEAGULL J Walk Java Client 4_0C10 - http://www.schottautoteile.de/jwalk/jwalk_ie.cab
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://cdn.drivecleaner.com/installdrivecleanerstart_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1165740664812
O16 - DPF: {693F0F29-1D1F-4EDF-B5A8-E8852FF195DE} (SEAGULL J Walk Printer Client) - http://www.schottautoteile.de/jwalk/jwalk_printerclient_ie.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{81F4B4C0-94C2-4EF5-B038-101E86CE4A12}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINNT\system32\LEXBCES.EXE
O23 - Service: Windows NT Session Manager (SMSS) - Unknown owner - C:\WINNT\system\smss.exe (file missing)
O23 - Service: vidicom Server - vidicom GmbH - c:\programme\gemeinsame dateien\vidicom\vcmserver.exe

Dieser Beitrag wurde am 16.05.2007 um 20:35 Uhr von Verbatus editiert.
Seitenanfang Seitenende
16.05.2007, 20:38
Member

Beiträge: 3716
#6 hi, fixe in hijackthis:
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} -
http://cdn.drivecleaner.com/installdrivecleanerstart_de.cab
mache bitte all diese rootkitscans:
http://www.hijackthis-forum.de/showthread.php?t=20219
bitte trenne dafür deine internetverbindung, stecker raus, wlan aus und schalte alle programme, auch antivir ab, nachdem du dich wieder verbunden hast, und antivir an ist, poste bitte alle logs!
Seitenanfang Seitenende
16.05.2007, 23:05
...neu hier

Themenstarter

Beiträge: 10
#7 sorry wenn ich noch mal fragen muss aber das mit dem hijackthis ist klar aber danach steht ein link zum drivecleanerinstaller den dann installieren?
Ich will nix falsch tun.
Mfg Verbatus
Seitenanfang Seitenende
17.05.2007, 11:35
...neu hier

Themenstarter

Beiträge: 10
#8

Zitat

Arnold postete
Mach bitte was Chris4You geschrieben hat

- Nutze Vundofix: http://virus-protect.org/artikel/tools/vundofixx.html
- und danach nochmal combofix: http://virus-protect.org/artikel/tools/combofix.html

Poste bitte beide Logs, danach neues Hijackthis-Log.
sorry aber bin jetzt komplett verwirrt was chris geschrieben hat hab ich doch schon gemacht, oder meint ihr den driveclener insten und mit vundofixx wieder entfernen???
Seitenanfang Seitenende
17.05.2007, 12:34
Member

Beiträge: 3716
#9 den drivecleaner kann man nicht mit vundofix löschen... fixen heißt, haken for eintrag im hijackthis machen, fix cheked klicken. mach das bitte mit dem von mir genannten! vundo kann auch rootkits mitsichbringen, also mach die rootkitscans. poste alle logs der rootkitscanner, ein neues combofixlog und ein neues hijackthislog.
Seitenanfang Seitenende
17.05.2007, 13:50
Member
Avatar Chris4You

Beiträge: 694
#10 Hi,

Drivecleaner u. ErrorSafe muessen deinstallieren werden (RiskWare).
Für den Fall das dies nicht geht, habe ich die RegKey über den Avenger entfernen lassen.
So in dem combofix-log sind einige Dateien die runter müssen, u.a. ein "Hidden-Process", daher auf jeden Fall auch noch den Rootkitscann durchführen!

Folgende Files Online prüfen lassen, und falls erkannt, beim Avenger "Files to delete" einhängen":
C:\WINNT\system32\xmwrslsf.dll
C:\WINNT\system32\swkesyrm.dll
C:\WINNT\system32\xgqjrvgc.dll
C:\WINNT\Setup1.exe
C:\WINNT\ST6UNST.EXE
C:\WINNT\Downloaded Program Files\UERSU_9999_N91S2009NetInstaller.exe
C:\WINNT\Downloaded Program Files\UDC6U_0001_D19M0709NetInstaller.exe
C:\WINNT\Downloaded Program Files\UWAS6_0001_N91M1508NetInstaller.exe
C:\WINNT\Downloaded Program Files\UWA6PU_0001_N91M2107NetInstaller.exe
C:\WINNT\Downloaded Program Files\UWA6P_0001_N91M1807NetInstaller.exe

Zitat

http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat


Registry values to delete:
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|SDR6U_Check
HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run|erscw
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Error Safe
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|AdwareProtector

registry keys to delete:


Files to delete:
C:\WINNT\system32\ynyqfycv.dll
C:\WINNT\system32\uocrqqkq.dll
C:\WINNT\system32\altwbbag.dll
C:\WINNT\system32\ftkkttvx.dll
C:\WINNT\system32\ctjtfqxa.dll
C:\WINNT\system32\vgcocauw.dll
C:\WINNT\system32\ofclxn.exe
C:\WINNT\system32\wuszy.exe
C:\WINNT\system32\bcegso.exe
C:\WINNT\system32\hhqc.exe
C:\WINNT\system32\rxae.exe
C:\WINNT\system32\eadyqkx.exe
C:\WINNT\system32\lzlkwivw.exe
C:\WINNT\system32\xcpx.exe
C:\WINNT\system32\uklc.exe
C:\WINNT\system32\gjhy.exe
C:\WINNT\system32\euqwkjl.exe
C:\WINNT\system32\dceiql.exe
C:\WINNT\system32\wubfpc.exe
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

Poste die neuen Logs und die der Rootkitscanner (irgendwo wird eine hidden CMD gestartet...)


Counterspy
scanne und poste den scanreport (stelle vorher alles auf "remove"
http://virus-protect.org/counterspy.html

Poste auch den Report.

Chris
Dieser Beitrag wurde am 17.05.2007 um 13:55 Uhr von Chris4You editiert.
Seitenanfang Seitenende
17.05.2007, 13:53
Member

Beiträge: 3716
#11 @Chris4You:
warum hast du diese zeile:
registry keys to delete:
in deinem avengerscript und nichts dazugeschrieben... die zeile ist doch damit nutzlos...
Seitenanfang Seitenende
17.05.2007, 13:56
Member
Avatar Chris4You

Beiträge: 694
#12 @virenfinder:
Weil ich ein template dafür benutze...
Ob drin oder draussen sollte für den Avenger keine Rolle spielen...
Chris
Seitenanfang Seitenende
17.05.2007, 13:57
Member

Beiträge: 3716
#13 nein, ob das ne rolle spielt, darum gings nicht... hätt ja sein können, das du was vergessen hast. nen schönen männertag übrigens ;-)
Seitenanfang Seitenende
17.05.2007, 14:01
Member
Avatar Chris4You

Beiträge: 694
#14 Danke,

werde jetzt Schluß machen und mich in den Regen stürzen :o(
(Wird wohl nix mit dem Motorrad durch die Gegend düsen...)
Have fun,
Chris
Seitenanfang Seitenende
17.05.2007, 14:02
Member

Beiträge: 3716
#15 jaja so ist das immer wenn es für uns einen feiertag gibt ;-)
viel spaß
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: