Home » Viren, Trojaner & Malware Forum » Virus ibm00003.dll » Themenansicht

Virus ibm00003.dll
#0
31.07.2007, 09:59
Aylin73
...neu hier

Beiträge: 3
#1 Hallo habe ein Problem,
bekomme den Virus ibm00003.dll nicht heraus. Kann mir bitte jemand helfen?
Programme/gemeinsame datein/Microsoft shared/webfolders/ibm0000.dll.

Vielen Dank
Aylin


Logfile of HijackThis v1.97.7
Scan saved at 10:01:06, on 31.07.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINNT\System32\Ati2evxx.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINNT\System32\wdfmgr.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\WINNT\System32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Iomega\DriveIcons\ImgIcon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\WINNT\System32\ctfmon.exe
C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
C:\WINNT\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\PRINZE~1\LOKALE~1\Temp\Rar$EX00.007\HijackThis.exe
C:\Programme\Microsoft Office\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
F2 - REG:system.ini: UserInit=C:\WINNT\system32\userinit.exe,C:\WINNT\System32\ntos.exe,
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DXHC70q] C:\WINNT\hbxivj.exe
O4 - HKLM\..\Run: [bO²ùðZ×y-¯Œ] C:\WINNT\hbxivj.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [bO²ùõö/ØF%)ßfÏNb¡¾C:\Programme\ISTsvc\istsvc.exe] C:\WINNT\hbxivj.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINNT\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [ADUserMon] C:\Programme\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] C:\Programme\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ALDI_NORD_FotoSuite_Download] "C:\Programme\ALDI Foto Service Nord\ALDI_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [Ulead Photo Express 5 SE Calendar Checker] C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - HKCU\..\Run: [userinit] C:\WINNT\System32\ntos.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Automatic Update-Agent.lnk = ?
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: Related (HKLM)
O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E074F793-5B9B-4792-888C-B3D2D855C224}: NameServer = 141.1.1.1
Seitenanfang Seitenende
31.07.2007, 11:06
Chris4You
Member
Avatar Chris4You

Beiträge: 694
#2 Hi,

nicht das einzigste Problem:
Backdoor.Win32.Small.lu
O4 - HKCU\..\Run: [userinit] C:\WINNT\System32\ntos.exe

O4 - HKLM\..\Run: [bO²ùõö/ØF%)ßfÏNb¡¾C:\Programme\ISTsvc\istsvc.exe] C:\WINNT\hbxivj.exe
(Das kommt öfter vor)

O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"

Avenger
http://virus-protect.org/artikel/tools/avenger.html
Input script manually (anhaken)
kopiere in: View/edit script

Zitat



Registry values to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|Internet Optimizer
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|bO²ùðZ×y-¯Œ
HKLM\Software\Microsoft\Windows\CurrentVersion\Run|DXHC70q

Files to delete:
C:\Program Files\Internet Optimizer\optimize.exe
C:\WINNT\hbxivj.exe
C:\WINNT\System32\ntos.exe
C:\Programme\gemeinsame dateien\Microsoft shared\webfolders\ibm00003.dll
C:\Programme\gemeinsame dateien\Microsoft shared\webfolders\ibm00001.exe
C:\Programme\gemeinsame dateien\Microsoft shared\webfolders\ibm00004.dll
C:\Programme\gemeinsame dateien\Microsoft shared\webfolders\ibm00006.dll
C:\Programme\gemeinsame dateien\Microsoft shared\webfolders\ibm00008.dll
Klicke die gruene Ampel
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

Fixe die entsprechenden Einträge mit HJ!

Nutze bitte einmal Combofix:
http://board.protecus.de/t23188.htm

Update Antivir, trenne die Internetverbindung und stelle Antivir wie folgt ein:
http://board.protecus.de/t23979.htm

Scanne den gesamten PC, poste das Log und erstelle ein neues HJ-Log, nenne vorher die HJ-EXE auf test.com um.

Dann sehen wir weiter.

chris
Seitenanfang Seitenende
31.07.2007, 14:18
Aylin73
...neu hier

Themenstarter

Beiträge: 3
#3 Hallo Chris,

vielen Dank. Habe alles so gemacht. Könntest du das bitte noch mal prüfen ob es jetzt ok ist.
Hier der neue Auszug aus Hijack

Viele Grüße
Aylin
Logfile of HijackThis v1.97.7
Scan saved at 14:15:07, on 31.07.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINNT\System32\Ati2evxx.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\PROGRA~1\Iomega\System32\AppServices.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\Programme\TOSHIBA\Power Management\CePMTray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Java\jre1.5.0_05\bin\jucheck.exe
C:\Programme\Iomega\DriveIcons\ImgIcon.exe
C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE
C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spamihilator\spamihilator.exe
C:\WINNT\System32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\Programme\T-Mobile\Communication Center\AutoUpdateSrv.exe
C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\WINNT\System32\LVComsX.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\WINNT\System32\wuauclt.exe
C:\PROGRA~1\MICROS~2\Office10\OUTLOOK.EXE
C:\Programme\Microsoft Office\Office10\WINWORD.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\PRINZE~1\LOKALE~1\Temp\Rar$EX00.904\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [ADUserMon] C:\Programme\Iomega\AutoDisk\ADUserMon.exe
O4 - HKLM\..\Run: [Iomega Drive Icons] C:\Programme\Iomega\DriveIcons\ImgIcon.exe
O4 - HKLM\..\Run: [Deskup] C:\Programme\Iomega\DriveIcons\deskup.exe /IMGSTART
O4 - HKLM\..\Run: [ALDI_NORD_FotoSuite_Download] "C:\Programme\ALDI Foto Service Nord\ALDI_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup
O4 - HKLM\..\Run: [Ulead Photo Express 5 SE Calendar Checker] C:\Programme\Ulead Systems\Ulead Photo Express 5 SE\calcheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINNT\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Automatic Update-Agent.lnk = ?
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: D-Link AirPlus G+ Wireless Adapter Utility.lnk = C:\Programme\D-Link\D-Link AirPlus G+ Wireless Adapter Utility\DWLGTI.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E074F793-5B9B-4792-888C-B3D2D855C224}: NameServer = 141.1.1.1
Seitenanfang Seitenende
31.07.2007, 14:45
Chris4You
Member
Avatar Chris4You

Beiträge: 694
#4 Hi,

das Log sieht sauber aus, was macht der PC?

Chris
Seitenanfang Seitenende
31.07.2007, 15:36
Aylin73
...neu hier

Themenstarter

Beiträge: 3
#5 Hallo,

alles ok, keine Probleme.
Hatte vorher das Problem beim Online Banking. Wurde nach nicht benutzten Tannummern gefragt:-). Und hatte ab und zu Bluescreen.

Der Rechner startet viel schneller.
Bisher alles bestens. Super Hilfe und habe es nach 6 Stunden arbeit geschafft.
VIelen Dank
Aylin
Seitenanfang Seitenende
31.07.2007, 17:44
Chris4You
Member
Avatar Chris4You

Beiträge: 694
#6 Hi,

es werden wahrscheinlich noch einige Registeryeinträge von den Trojanern umgeschossen sein, Homebanking würde ich jetzt wohl nicht mehr über das System abwickeln. Man weiss nie, welche Ports von den Plagegeistern aufgemacht worden sind...

Backups von Avenger&Co löschen:

C:\Qoobox - loeschen und Papierkorb leeren
C:\avenger\backup.zip - loeschen und Papierkorb leeren
C:\VundoFix Backups - loeschen und Papierkorb leeren


Scanne zur Sicherheit nochmal mit dem hier:
Im abgesicherten Modus noch Drweb cureit reinigen lassen:
http://freedrweb.com/?lng=de
Report liegt in %userprofile%\doctorweb\cureit.log , bitte posten!

Du könntest im Application-Eventlog nachschauen, was die Bluescreens verursacht bzw. die DLL müsste bereits beim BlueScreen angegeben werden....

Chris
Seitenanfang Seitenende
31.07.2007, 23:34
joschi
Moderator
Avatar joschi

Beiträge: 6466
#7 Hinweis am Rande:

Service-Pack 2 aufspielen und http://update.microsoft.com besuchen, um die letzten Patches für das Betriebssystem zu erhalten (bekommt man alternativ auch über http://www.winhelpline.info/forum/winhelpline-postservice-pack-updater/106287-windows-xp-update-pack-v11-07-2007-a.html)
__________
Durchsuchen --> Aussuchen --> Untersuchen
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren:
Seite(n): 1