Home » Spyware & Browser Hijacker Support Forum » Trojaner Pop-Ups wie "regwinclean" od. "registrcleanerxp" » Themenansicht

Trojaner Pop-Ups wie "regwinclean" od. "registrcleanerxp"
#0
24.07.2007, 11:16
Hens
Member

Beiträge: 22
#1 Hallo liebe Community.
Habe wie empfohlen schon ATF-Cleaner laufen lassen, Combofix (s.u.) und HiJack sowie datfind.bat. Wie gehts weiter? Liebe Grüße und herzlichen Dank schon im Voraus, Hens.

"Werner1" - 24.07.2007 11:04:09 - ComboFix 07-07-23.6 - Service Pack 2 NTFS


((((((((((((((((((((((((( Files Created from 2007-06-24 to 2007-07-24 )))))))))))))))))))))))))))))))


2007-07-24 10:55 51,200 --a------ C:\WINNT\nircmd.exe


(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2002-04-09 21:14:05 271 ---h--w C:\Programme\desktop.ini
2002-04-09 21:14:05 22,080 ---h--w C:\Programme\folder.htt


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [10.12.99 14:00 C:\WINNT\system32\mobsync.exe]
"NvCplDaemon"="NvQTwk" []
"InCD"="C:\Programme\ahead\InCD\InCD.exe" [03.07.01 19:26 ]
"WorksFUD"="C:\Programme\Microsoft Works\wkfud.exe" [12.07.00 12:59 ]
"Microsoft Works Portfolio"="C:\Programme\Microsoft Works\WksSb.exe" [12.07.00 14:14 ]
"Microsoft Works Update Detection"="C:\Programme\Microsoft Works\WkDetect.exe" [21.07.00 16:39 ]
"Windows Automation"="mslaugh.exe" [05.10.03 03:59 C:\WINNT\system32\mslaugh.exe]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [10.12.99 14:00 C:\WINNT\system32\internat.exe]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"^SetupICWDesktop"=C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"internat.exe"=internat.exe

C:\Dokumente und Einstellungen\Werner1\Startmen\Programme\Autostart\
Club Internet.lnk - C:\Programme\Club-Internet\Lanceur\lanceur.exe [2005-04-04 23:12:53]
Hardcopy.LNK - C:\Programme\Hardcopy\hardcopy.exe [2002-04-10 15:01:46]
multires.exe [2004-01-10 14:57:59]
multires.INI [2004-01-10 15:00:46]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Erinnerungen in Microsoft Works-Kalender.lnk - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe [2000-07-12 14:14:38]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-18 00:05:56]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"Network.ConnectionTray"= {7007ACCF-3202-11D1-AAD2-00805FC1270E} - C:\WINNT\system32\NETSHELL.dll [04.05.01 12:05 477968]
"Network.ConnectionTray"= {7007ACCF-3202-11D1-AAD2-00805FC1270E} - Both [ ]

R0 Diskperf;Diskperf;C:\WINNT\System32\drivers\Diskperf.sys
R0 Gernuwa;Gernuwa;C:\WINNT\System32\drivers\Gernuwa.sys
R1 Parport;Treiber fr parallelen Anschluss;C:\WINNT\System32\DRIVERS\parport.sys
R2 AVMPORT;AVMPORT;C:\WINNT\System32\drivers\avmport.sys
R2 BsUDF;BsUDF;C:\WINNT\System32\drivers\BsUDF.sys
R2 HPFECP20;HPFECP20;C:\WINNT\System32\drivers\HPFECP20.SYS
R2 ROOTMODEM;Microsoft Legacy Modem Driver;C:\WINNT\System32\Drivers\RootMdm.sys
R3 AVMWAN;AVM NDIS WAN CAPI Treiber;C:\WINNT\System32\DRIVERS\avmwan.sys
R3 fpcibase;FRITZ!Card PCI;C:\WINNT\System32\DRIVERS\fpcibase.sys
R3 NeroCd2k;NeroCd2k;C:\WINNT\System32\drivers\NeroCd2k.sys
R3 NETFRITZ;AVM FRITZ!web PPP over ISDN;C:\WINNT\System32\DRIVERS\NETFRITZ.SYS
R3 Parallel;Parallelklassentreiber;C:\WINNT\System32\DRIVERS\parallel.sys
R3 Ptilink;Treiber fr direkte Parallelverbindung;C:\WINNT\System32\DRIVERS\ptilink.sys
R3 Raspti;Parallelanschluss (direkt);C:\WINNT\System32\DRIVERS\raspti.sys
R3 uhcd;Universeller Microsoft USB-Hostcontrollertreiber;C:\WINNT\System32\DRIVERS\uhcd.sys
R4 EFS;EFS;C:\WINNT\System32\drivers\EFS.sys
S3 awhost32;pcAnywhere Host Service;C:\Programme\Symantec\pcAnywhere\awhost32.exe
S3 Fax;Faxdienst;C:\WINNT\system32\faxsvc.exe
S3 MPE;BDA MPE Filter;C:\WINNT\System32\DRIVERS\MPE.sys
S3 NetDetect;NetDetect;C:\WINNT\System32\drivers\netdtect.sys
S3 RCA;Microsoft Streaming Network-RCA (Raw Channel Access);C:\WINNT\System32\drivers\RCA.sys
S3 UtilMan;Hilfsprogramm-Manager;C:\WINNT\System32\UtilMan.exe

*Newly Created Service* - CATCHME

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-24 11:04:47
Windows 5.0.2195 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 24.07.2007 11:05:36
C:\ComboFix2.txt ... 24.07.07 10:58

--- E O F ---

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:11:02, on 24.07.2007
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\Programme\ahead\InCD\InCD.exe
C:\WINNT\System32\mslaugh.exe
C:\WINNT\System32\internat.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Dokumente und Einstellungen\Werner1\Startmenü\Programme\Autostart\multires.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\explorer.exe
C:\Dokumente und Einstellungen\Werner1\Desktop\Trojaner\HiJackthis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: Club Internet.lnk = C:\Programme\Club-Internet\Lanceur\lanceur.exe
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Startup: multires.exe
O4 - Startup: multires.INI
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129449377750
O17 - HKLM\System\CCS\Services\Tcpip\..\{A6837CB1-5464-441C-AD1C-FA62CACA74E0}: NameServer = 194.117.200.10 194.117.200.15
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD7271C2-873B-4617-90C2-EB6B428B2D0A}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

--
End of file - 3696 bytes

DATFIND.BAT: weiss nicht wie lange das Problem schon besteht, daher mehr als die 3 Monate!
Verzeichnis von C:\WINNT\system32

22.07.2007 18:39 279.552 swreg.exe
18.05.2007 09:12 5.323 ModemLog_AVM ISDN Internet (PPP over ISDN).txt
20.02.2007 14:07 743 ModemLog_AVM ISDN BTX.txt
20.02.2007 14:07 762 ModemLog_AVM ISDN Analog Modem (V.32bis).txt
20.02.2007 14:07 753 ModemLog_AVM ISDN Custom Config.txt
20.02.2007 14:07 753 ModemLog_AVM ISDN - ISDN (X.75).txt
20.02.2007 14:07 748 ModemLog_AVM ISDN FAX (G3).txt
20.02.2007 14:07 754 ModemLog_AVM ISDN Mailbox (X.75).txt
20.02.2007 14:07 759 ModemLog_AVM ISDN RAS (PPP over ISDN).txt
20.02.2007 14:07 768 ModemLog_AVM ISDN SoftCompression X.75-V.42bis.txt
01.12.2006 05:20 212.480 swxcacls.exe
29.11.2006 17:21 370.688 swsc.exe
27.11.2006 02:34 49.152 vfind.exe
29.08.2005 13:27 520.968 LegitCheckControl.DLL
29.08.2005 13:27 23.304 GWFSPidGen.DLL
26.05.2005 04:19 173.536 wuweb.dll
Seitenanfang Seitenende
24.07.2007, 18:02
Chris4You
Member
Avatar Chris4You

Beiträge: 694
#2 hi,

probiere einfach das hier mal:

http://answers.yahoo.com/question/index?qid=20061207204601AAucAo0

Prüfe Online noch folgende Files über virustotal:

Zitat

C:\WINNT\System32\mslaugh.exe
C:\WINNT\System32\internat.exe
multires.exe [2004-01-10 14:57:59]
multires.INI
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

mslaugh.exe könnte ein Rest vom BlasterWurm sein...


Chris
Seitenanfang Seitenende
26.07.2007, 09:41
Hens
Member

Themenstarter

Beiträge: 22
#3 Hi Chris, herzlichen Dank für die schnelle Antwort.
Über Yahoo hat das leider nicht geklappt, da die angegebenen Seiten nicht mehr existieren (von 2006). Gibts da was anderes?
Bin übrigens am PC meines Vaters dran und weiss so auch gar nicht, was er für Sicherheitsprogramme hat oder ob ein automat. Update für den Explorer besteht... Im übrigen kommen diese Pop-Ups schon nicht mehr :-)
Habe über Virustotal die 4 Dateien überprüft, hier die Ergebnisse:

1. C:\WINNT\System32\mslaugh.exe
AhnLab-V3 2007.7.26.0 2007.07.26 Win32/Blaster.worm.6176.B
AntiVir 7.4.0.50 2007.07.25 Worm/Lovsan.F.1
Authentium 4.93.8 2007.07.25 W32/Msblast.E
Avast 4.7.997.0 2007.07.26 Win32:Blaster-E
AVG 7.5.0.476 2007.07.25 Worm/Lovsan.A
BitDefender 7.2 2007.07.26 Win32.Worm.Lovesan.A
CAT-QuickHeal 9.00 2007.07.25 W32.Mblast.A
ClamAV 0.91 2007.07.26 Worm.Blaster.E
DrWeb 4.33 2007.07.26 Win32.HLLW.LoveSan.based
eSafe 7.0.15.0 2007.07.24 Win32.Lovesan.a
eTrust-Vet 31.1.5004 2007.07.25 Win32/Poza.E
Ewido 4.0 2007.07.25 Worm.Lovesan.a
FileAdvisor 1 2007.07.26 High threat detected
Fortinet 2.91.0.0 2007.07.26 W32/Lovsan.E!worm
F-Prot 4.3.2.48 2007.07.25 W32/Msblast.E
F-Secure 6.70.13030.0 2007.07.26 Net-Worm.Win32.Lovesan.a
Ikarus T3.1.1.8 2007.07.26 Worm.Win32.Lovesan.A
Kaspersky 4.0.2.24 2007.07.26 Net-Worm.Win32.Lovesan.a
McAfee 5083 2007.07.26 W32/Blaster.worm.e
Microsoft 1.2704 2007.07.25 Worm:Win32/Msblast.E
NOD32v2 2421 2007.07.26 Win32/Lovsan.E
Norman 5.80.02 2007.07.25 Blaster.A
Panda 9.0.0.4 2007.07.26 W32/Blaster.E
Rising 19.33.30.00 2007.07.26 Worm.Blaster.e
Sophos 4.19.0 2007.07.17 W32/Blaster-E
Sunbelt 2.2.907.0 2007.07.26 MSBlast
Symantec 10 2007.07.26 W32.Blaster.E.Worm
TheHacker 6.1.7.154 2007.07.26 W32/Blaster.E
VBA32 3.12.2.1 2007.07.24 Win32.Worm.MSBlast
VirusBuster 4.3.26:9 2007.07.25 Worm.Lovsan.A
Webwasher-Gateway 6.0.1 2007.07.26 Worm.Lovsan.F.1
weitere Informationen
File size: 6176 bytes
MD5: 8676210e6246948201aa014db471de90
SHA1: 86b30d1a8b7515dcab6c8d2781b85c6983709dbf
packers: UPX
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=8676210e6246948201aa014db471de90
Sunbelt info: Blaster is a worm that uses the internet to exploit the DCOM vulnerability in the Microsoft RPC (Remote Procedure Call) service. It was a very fast spreading worm that ended was mainly used for DDOS attacks on microsoft.

2. C:\WINNT\System32\internat.exe
AhnLab-V3 2007.7.26.0 2007.07.26 -
AntiVir 7.4.0.50 2007.07.25 -
Authentium 4.93.8 2007.07.25 -
Avast 4.7.997.0 2007.07.26 -
AVG 7.5.0.476 2007.07.25 -
BitDefender 7.2 2007.07.26 -
CAT-QuickHeal 9.00 2007.07.25 -
ClamAV 0.91 2007.07.26 -
DrWeb 4.33 2007.07.26 -
eSafe 7.0.15.0 2007.07.24 -
eTrust-Vet 31.1.5004 2007.07.25 -
Ewido 4.0 2007.07.25 -
FileAdvisor 1 2007.07.26 -
Fortinet 2.91.0.0 2007.07.26 -
F-Prot 4.3.2.48 2007.07.25 -
F-Secure 6.70.13030.0 2007.07.26 -
Ikarus T3.1.1.8 2007.07.26 -
Kaspersky 4.0.2.24 2007.07.26 -
McAfee 5083 2007.07.26 -
Microsoft 1.2704 2007.07.25 -
NOD32v2 2421 2007.07.26 -
Norman 5.80.02 2007.07.25 -
Panda 9.0.0.4 2007.07.26 -
Rising 19.33.30.00 2007.07.26 -
Sophos 4.19.0 2007.07.17 -
Sunbelt 2.2.907.0 2007.07.26 -
Symantec 10 2007.07.26 -
TheHacker 6.1.7.154 2007.07.26 -
VBA32 3.12.2.1 2007.07.24 -
VirusBuster 4.3.26:9 2007.07.25 -
Webwasher-Gateway 6.0.1 2007.07.26 -
weitere Informationen
File size: 20752 bytes
MD5: e20039b24870122916142d4ccdf2aa51
SHA1: e2fa51a36bbbf70bb290148abd97138fdcde7979

3. multires.exe
AhnLab-V3 2007.7.26.0 2007.07.26 -
AntiVir 7.4.0.50 2007.07.26 -
Authentium 4.93.8 2007.07.25 -
Avast 4.7.997.0 2007.07.26 -
AVG 7.5.0.476 2007.07.25 -
BitDefender 7.2 2007.07.26 -
CAT-QuickHeal 9.00 2007.07.25 -
ClamAV 0.91 2007.07.26 -
DrWeb 4.33 2007.07.26 -
eSafe 7.0.15.0 2007.07.24 suspicious Trojan/Worm
eTrust-Vet 31.1.5004 2007.07.25 -
Ewido 4.0 2007.07.25 -
FileAdvisor 1 2007.07.26 -
Fortinet 2.91.0.0 2007.07.26 -
F-Prot 4.3.2.48 2007.07.25 -
F-Secure 6.70.13030.0 2007.07.26 -
Ikarus T3.1.1.8 2007.07.26 -
Kaspersky 4.0.2.24 2007.07.26 -
McAfee 5083 2007.07.26 -
Microsoft 1.2704 2007.07.25 -
NOD32v2 2421 2007.07.26 -
Norman 5.80.02 2007.07.25 -
Panda 9.0.0.4 2007.07.26 -
Rising 19.33.31.00 2007.07.26 -
Sophos 4.19.0 2007.07.17 -
Sunbelt 2.2.907.0 2007.07.26 -
Symantec 10 2007.07.26 -
TheHacker 6.1.7.154 2007.07.26 -
VBA32 3.12.2.1 2007.07.24 -
VirusBuster 4.3.26:9 2007.07.25 -
Webwasher-Gateway 6.0.1 2007.07.26 -
weitere Informationen
File size: 50176 bytes
MD5: 809877b9e9bb189c4162ad1bdf9aeb63
SHA1: 7311747fcc16d5e7e168892d74dd2beaffdf5ce9
packers: ASPACK
packers: Aspack


4. multires.INI
AhnLab-V3 2007.7.26.0 2007.07.26 -
AntiVir 7.4.0.50 2007.07.26 -
Authentium 4.93.8 2007.07.25 -
Avast 4.7.997.0 2007.07.26 -
AVG 7.5.0.476 2007.07.25 -
BitDefender 7.2 2007.07.26 -
CAT-QuickHeal 9.00 2007.07.25 -
ClamAV 0.91 2007.07.26 -
DrWeb 4.33 2007.07.26 -
eSafe 7.0.15.0 2007.07.24 -
eTrust-Vet 31.1.5004 2007.07.25 -
Ewido 4.0 2007.07.25 -
FileAdvisor 1 2007.07.26 -
Fortinet 2.91.0.0 2007.07.26 -
F-Prot 4.3.2.48 2007.07.25 -
F-Secure 6.70.13030.0 2007.07.26 -
Ikarus T3.1.1.8 2007.07.26 -
Kaspersky 4.0.2.24 2007.07.26 -
McAfee 5083 2007.07.26 -
Microsoft 1.2704 2007.07.25 -
NOD32v2 2421 2007.07.26 -
Norman 5.80.02 2007.07.25 -
Panda 9.0.0.4 2007.07.26 -
Rising 19.33.31.00 2007.07.26 -
Sophos 4.19.0 2007.07.17 -
Sunbelt 2.2.907.0 2007.07.26 -
Symantec 10 2007.07.26 -
TheHacker 6.1.7.154 2007.07.26 -
VBA32 3.12.2.1 2007.07.24 -
VirusBuster 4.3.26:9 2007.07.25 -
Webwasher-Gateway 6.0.1 2007.07.26 -
weitere Informationen
File size: 28 bytes
MD5: da197260983ee4d5afa41d069c01fa92
SHA1: 6885d258b20ccb803aff5e9e8af99337009a191a


Herzliche Grüße aus Nizza, Hens.
Seitenanfang Seitenende
26.07.2007, 14:01
Chris4You
Member
Avatar Chris4You

Beiträge: 694
#4 Hallo,

let's kill....

Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat


Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Windows Automation

Files to delete:
C:\WINNT\system32\mslaugh.exe
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

Zitat


O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe
O4 - Startup: multires.INI
Folgende Files sind mir suspekt:
C:\WINNT\System32\drivers\Gernuwa.sys
C:\WINNT\System32\drivers\BsUDF.sys

Bitte Online (wie bereits gemacht) prüfen lassen;

Der Rechner ist total veraltet, unbedingt Windowsupdate machen (gilt auch für den IE und JAVA!).
http://www.update.microsoft.com/windowsupdate/v6/default.aspx?ln=de

Virenscanner installieren:
http://www.free-av.de/

Gruß,
Chris
Seitenanfang Seitenende
06.08.2007, 11:02
Hens
Member

Themenstarter

Beiträge: 22
#5 Hi Chris, habe grad auf DSL umgestellt, war daher 1 Woche nicht online. Jetzt gehts aber weiter...
Habe "O4 - HKLM\..\Run: [Windows Automation] mslaugh.exe" in HiJackThis nicht mehr gefunden, schicke also nochmals das logfile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:46:39, on 06.08.2007
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\ahead\InCD\InCD.exe
C:\WINNT\System32\internat.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\Programme\Club-Internet\Lanceur\lanceur.exe
C:\Programme\Hardcopy\hardcopy.exe
C:\Dokumente und Einstellungen\Werner1\Startmenü\Programme\Autostart\multires.exe
C:\WINNT\system32\notepad.exe
C:\Programme\internet explorer\iexplore.exe
C:\Dokumente und Einstellungen\Werner1\Desktop\Trojaner\HiJackthis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-internet.fr/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = HTTP=proxy.club-internet.fr:8080
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Startup: Club Internet.lnk = C:\Programme\Club-Internet\Lanceur\lanceur.exe
O4 - Startup: Hardcopy.LNK = C:\Programme\Hardcopy\hardcopy.exe
O4 - Startup: multires.exe
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1129449377750
O17 - HKLM\System\CCS\Services\Tcpip\..\{DD7271C2-873B-4617-90C2-EB6B428B2D0A}: NameServer = 192.168.120.252,192.168.120.253
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\PROGRAMME\FRITZ!\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

--
End of file - 3695 bytes


Virustotal:
C:\WINNT\System32\drivers\Gernuwa.sys
AhnLab-V3 2007.8.3.0 2007.08.06 -
AntiVir 7.4.0.57 2007.08.06 -
Authentium 4.93.8 2007.08.03 -
Avast 4.7.1029.0 2007.08.06 -
AVG 7.5.0.476 2007.08.05 -
BitDefender 7.2 2007.08.06 -
CAT-QuickHeal 9.00 2007.08.04 -
ClamAV 0.91 2007.08.06 -
DrWeb 4.33 2007.08.06 -
eSafe 7.0.15.0 2007.07.31 -
eTrust-Vet 31.1.5037 2007.08.06 -
Ewido 4.0 2007.08.05 -
FileAdvisor 1 2007.08.06 -
Fortinet 2.91.0.0 2007.08.06 -
F-Prot 4.3.2.48 2007.08.03 -
F-Secure 6.70.13030.0 2007.08.06 -
Ikarus T3.1.1.8 2007.08.06 -
Kaspersky 4.0.2.24 2007.08.06 -
McAfee 5090 2007.08.03 -
Microsoft 1.2704 2007.08.06 -
NOD32v2 2438 2007.08.05 -
Norman 5.80.02 2007.08.03 -
Panda 9.0.0.4 2007.08.05 -
Prevx1 V2 2007.08.06 -
Prevx1 V2 2007.08.06 -
Sophos 4.19.0 2007.08.01 -
Sophos 4.19.0 2007.08.01 -
Symantec 10 2007.08.06 -
TheHacker 6.1.7.162 2007.08.04 -
VBA32 3.12.2.2 2007.08.04 -
VirusBuster 4.3.26:9 2007.08.05 -
Webwasher-Gateway 6.0.1 2007.08.06 -
weitere Informationen
File size: 13440 bytes
MD5: 80a9b35675339697e0622a40d994e537
SHA1: 6df990fa4f031ce7c1e5c34fea82cfa239671a24

C:\WINNT\System32\drivers\BsUDF.sys:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.8.3.0 2007.08.06 -
AntiVir 7.4.0.57 2007.08.06 -
Authentium 4.93.8 2007.08.03 -
Avast 4.7.1029.0 2007.08.06 -
AVG 7.5.0.476 2007.08.05 -
AVG 7.5.0.476 2007.08.05 -
CAT-QuickHeal 9.00 2007.08.04 -
ClamAV 0.91 2007.08.06 -
DrWeb 4.33 2007.08.06 -
DrWeb 4.33 2007.08.06 -
eTrust-Vet 31.1.5037 2007.08.06 -
Ewido 4.0 2007.08.05 -
FileAdvisor 1 2007.08.06 -
Fortinet 2.91.0.0 2007.08.06 -
Fortinet 2.91.0.0 2007.08.06 -
F-Secure 6.70.13030.0 2007.08.06 -
Ikarus T3.1.1.8 2007.08.06 -
Kaspersky 4.0.2.24 2007.08.06 -
McAfee 5090 2007.08.03 -
Microsoft 1.2704 2007.08.06 -
NOD32v2 2438 2007.08.05 -
Norman 5.80.02 2007.08.03 -
Panda 9.0.0.4 2007.08.05 -
Prevx1 V2 2007.08.06 -
Rising 19.35.01.00 2007.08.06 -
Sophos 4.19.0 2007.08.01 -
Sunbelt 2.2.907.0 2007.08.04 -
Symantec 10 2007.08.06 -
TheHacker 6.1.7.162 2007.08.04 -
Symantec 10 2007.08.06 -
TheHacker 6.1.7.162 2007.08.04 -
Webwasher-Gateway 6.0.1 2007.08.06 -
weitere Informationen
File size: 294793 bytes
MD5: f4df6b6791c3e0b6406e62eefdba741d
SHA1: 51e933718b190e8fa663542fd3e6adae547413f3


Mache jetzt die Windows-Updates und installiere einen Virenscanner.
Was heisst: Sie ist wieder DA???
By the way: Was heisst "multires.exe" im Startup (das Fenster nervt...)
Schönen Gruß und wieder mal: Herzlichen Dank!!
Hens.
Seitenanfang Seitenende
07.08.2007, 08:22
Chris4You
Member
Avatar Chris4You

Beiträge: 694
#6 Hi,

Multires: Part of ATI Radeon Omega Drivers
Sollte sich dort wohl irgendwo in den Einstellungen ausschalten lassen!
Wenn wir es per HJ rausnehmen, kann es sein, dass uns das der Rechner (die Grafikkarte) übel nimmt (sonst fixe einfach den Eintrag mit HJ: O4 - Startup: multires.exe).

"Sie ist wieder da", eine Kollegin im Forum die lange weg war...
(siehe Thread:http://board.protecus.de/t30522.htm)

Der Rest sieht gut aus!

Chris
Dieser Beitrag wurde am 07.08.2007 um 08:26 Uhr von Chris4You editiert.
Seitenanfang Seitenende
07.08.2007, 09:31
raman
Moderator

Beiträge: 7805
#7 Kleiner Nachtrag, du musst schleunigst dein Windows aktualisieren, es ist hoffnungslos veraltet. Auch solltest du dir ein AV-Programm zulegen, wie z.B. Antivir http://free-av.de/

Nur so zur Info, du hattest diesen Wurm seit ca 4 Jahren aktiv auf deinem Rechner. Mich wundert, das dir das erst jetzt aufgefallen ist, genauso wie die Popups. Das ist der Windowsnachrichtendienst, der ist bei Win2000 standardmaessig aktiv.

Wenn du pcanywhere nicht nutzt, solltest du es deinstallieren.
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
07.08.2007, 13:50
Hens
Member

Themenstarter

Beiträge: 22
#8 Hi Chris, das mit "multires" erscheint nicht mehr, seitdem ich mit HJ "multires.ini" inaktiviert habe, also kein Problem mehr.

Hallo Sabina, ein kleiner Gruß nach Portugal (falls Du noch da bist), Du hattest mir 2006 mal intensiv aus der Patsche geholfen an meinem Rechner in Kehl, bis jetzt alles in Ordnung!

Hi Ralf, habe Windows aktualisiert (32 Updates!!!) und AntiVir installiert. Habe damit den Wurm "WORM/Lovsan.F.1" in der Datei "C:Avenger/backup.zip" gefunden und in Quarantäne geschickt. Oder soll ich das lieber löschen?
Dies ist übrigens der PC meines Vaters in einer Ferienwohnung, daher nur selten benutzt. Habt herzlichen Dank für Eure Hilfe, besonders Dir, Chris. Wie kann ich mich erkenntlich zeigen?
LG, HEns.
Seitenanfang Seitenende
07.08.2007, 14:09
Chris4You
Member
Avatar Chris4You

Beiträge: 694
#9 hi,

ist OK;

Backups von Avenger&Co löschen:

C:\Qoobox - loeschen und Papierkorb leeren
C:\avenger\backup.zip - loeschen und Papierkorb leeren
C:\VundoFix Backups - loeschen und Papierkorb leeren


Stelle Antivir wie folgt ein und mache zur Sicherheit noch mal ein Fullscan:
http://board.protecus.de/t23979.htm

Dann wünsche ich noch einen schönen Urlaub,
Chris
Seitenanfang Seitenende
07.08.2007, 22:00
Hens
Member

Themenstarter

Beiträge: 22
#10 Hi Chris,
habe "C:\VundoFix Backups" nicht gefunden, sonst aber alles gelöscht und AntiVir nochmals laufen lassen, darin gefundenes auch gleich gelöscht. Oder soll ich das lieber in Quarantäne schicken?
Hoffe jetzt ist Schluss und ich kann den Urlaub geniessen. Hab nochmals vielen Dank!
LG Hens.
Seitenanfang Seitenende
08.08.2007, 07:25
Chris4You
Member
Avatar Chris4You

Beiträge: 694
#11 Hi,

lieber immer in Quarantäne stellen, wenn es ein false/positiv war kann es sonst ins Auge gehen, besonderst wenn die Heuristic im Einsatz ist....

Chris
Seitenanfang Seitenende
09.08.2007, 08:13
Hens
Member

Themenstarter

Beiträge: 22
#12 Hi Chris, danke nochmals für alles. Muss jetzt leider wieder von der Cote d'Azur ins triste Deutschland zurück, aber der PC ist clean. Super.
LG, Hens.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1