Ein Virus... und Keiner kann ihn Stoppen !!!

#1 Hallo Freunde,
ich habe ein Problem mit einem AUSERGEWÖNLICHEM Virus. Ich habe eine ".exe" Datei geöffnet und diese hat dann prommt ohne jegliche Aufforderrung

- Avira AntiVir Personal Edition
- Ashampoo Firewall PRO
- Ashampoo AntySpy
- Windows Defender
- Windows Systemwiederherstellung
- Ad-Aware SE

gelöscht, vernichtet, entfernt !!!!!!!! Ich kann KEINS der oben genannten Programme weder öffnen noch benutzen !!! Ich konnte noch nicht einmal versuchen die Programme neu zu installiieren..... Ich bin mit meinem Spanisch hier am ende wie ihr seht ist das nichts "Normales" !!!!!! Brauche dringend eure Hilfe wenns geht ohne Windows neu zu installieren da die Daten auf dem Pc sehr sehr wichtig sind !!!
Vielen Dank schon mal im Vorraus für eure Hilfe

Mit schlechten Nachrichten
El Padre

#2 Hi,

folgendes abarbeiten, nenne vorher die HJ-Exe auf test.com um!
http://board.protecus.de/t23188.htm
- Erstellen eines Hijackthis-Logfiles ((http://sicher-ins-netz.info/analyse/hjt.html)
- CleanUp (temporaeren Dateien loeschen)
- Combofix
- Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten)


Anschließend SilentRunner:
Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen.
Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde,
bitte in Editor laden und posten.
http://www.silentrunners.org/Silent%20Runners.zip

Poste alle LOGS....

Chris

#3 Also ich hoffe ich habe meine Arbeit gut gemacht :-)
naja hier sind die Log`s !
Aber "Combofix" ist aus irgend einem Grund nicht gestartet !?!
Genauso wie dieses "datFind.bat" !
Hoffe meinem Pc ist noch zu helfen.

El Padre

HJT Log:

C:\WINDOWS\system32\wbem\wmiprvse.exe
F:\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Preispiraten 4 - {E9E027BF-C3F3-4022-8F6B-8F6D39A59684} - C:\Programme\Preispiraten\Preispiraten4\IEButtonPPInterface.dll
O2 - BHO: WeeklyExecuter Class - {f015f320-ab08-11db-abbd-0800200c9a66} - C:\WINDOWS\inetloader.dll (file missing)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Windows Defender] "C:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [ooccctrl.exe] C:\Programme\OO Software\CleverCache\ooccctrl.exe /tasktray
O4 - HKLM\..\Run: [Ashampoo FireWall PRO] "C:\Programme\Ashampoo\Ashampoo FireWall PRO\FireWall.exe" -TRAY
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [system32OQJT Agent] C:\WINDOWS\system32OQJT.exe
O4 - HKLM\..\Run: [Microsoft Update] smartftpcrackv1.3.exe
O4 - HKLM\..\Run: [Ashampoo AntiSpyWare Guard] C:\Programme\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareGuard.exe
O4 - HKLM\..\RunServices: [Microsoft Update] smartftpcrackv1.3.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [BitTorrent] "C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [Microsoft Update] smartftpcrackv1.3.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')
O4 - Global Startup: HotKeyDriver.lnk = C:\Programme\HotKey_Driver\HotKeyDriver.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten\\Preispiraten4\\preispiraten.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Öffnen mit WordPerfect - C:\Programme\WordPerfect Office X3\Programs\WPLauncher.hta
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Preispiraten 4 - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - C:\Programme\Preispiraten\Preispiraten4\preispiraten3ie.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1187240527796
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su2/CTL_V02002/ocx/15030/CTPID.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Active File Monitor V5 (AdobeActiveFileMonitor5.0) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: O&O CleverCache Agent (OOCleverCacheAgent) - O&O Software GmbH - C:\Programme\OO Software\CleverCache\ooccag.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Programme\Windows Live\installer\WLSetupSvc.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/Schmidt/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg

--
End of file - 9984 bytes

#4 Hi,

das HJ-Log ist nicht vollständig!
Das hier ist bereits zu erkennen:

O4 - HKCU\..\Run: [Microsoft Update] smartftpcrackv1.3.exe
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKLM\..\RunServices: [Microsoft Update] smartftpcrackv1.3.exe
O4 - HKLM\..\Run: [Microsoft Update] smartftpcrackv1.3.exe
O4 - HKLM\..\Run: [system32OQJT Agent] C:\WINDOWS\system32OQJT.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/Schmidt/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg

Checke die angegebenen Files online:
virustotal
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
http://www.virustotal.com/flash/index_en.html

Zitat

C:\WINDOWS\system32OQJT.exe
smartftpcrackv1.3.exe (Ort suchen)
C:/DOKUME~1/Schmidt/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg

Poste auf jeden Falls das Ergebniss, es interessiert mich welcher Scanner anspricht...

Poste den Rest vom HJ-LOG und ComboFix etc.

Chris

Ps.: Und wenn schon mit Cracks hantiert wird, dann wenigstens vorher online prüfen lassen ...!

#5 Thx für die schnelle Hilfe !

Da ich das erste Mal erfahrungen mache mit diesem ganzen HJT u.s.w. müsste ich noch wissen wo ich die oben genannte Dateien finde.....
El Padre

#6 Hi,

welch Dateien meinst Du?
Bis auf "smartftpcrackv1.3.exe" sind die Pfade klar,
ich denke die Datei wird entweder in
c:\windows\smartftpcrackv1.3.exe
oder
c:\windows\system32\smartftpcrackv1.3.exe
zu finden sein!
Das Log von dem Onlinescann musst Du per copy und paste aus dem Browser
"abkopieren"...
Combofix/datfind zeigt den Report nach dem Scannen an (im Editor)..

chris

So, bin jetzt weg, vielleicht machen Arni (der Nachtmensch) oder raman weiter,
sonst bis morgen!

#7 Sooo ich habe leider noch so meine Probleme mit "Combofix". Er läuft zwar duch bleibt aber dann bei der Erstellung der Log datei hängen und arbeitet nicht mer weiter. Ich habe 30 min. gewartet und ihn dann doch noch geschlossen.
Ich habe gerade mit einem Computershop bei uns in der Nähe gesprochen und die meinten das z.Z. eine Wartezeit von ca. 3-4 Tagen herrscht. Nun brauche ich den Pc aus beruflichen Gründen noch einmal dringend vor dem 21.09. ! Nun meine Frage: Würde es einen Sinn machen, ein "Update" des Betriebssystems mit der Original CD zu machen ?? D.h. System neu nur Daten bleiben erhalten. ?!?!

Danke für schnelle Hilfe

#8 Hi,

im allgemeinen bleiben die Einstellungen (und damit die Viren/Trojaner) erhalten, so dass es wahrscheinlich nichts nutzen wird...

Hast Du die Dateien Online prüfen lassen?
Falls Du sie nicht findest:
Explorer alle Dateien anzeigen:
Explorer->Extras->Ordneroptionen->Ansicht:
Erweiterung bei bekannten Dateitypen ausblenden -> kein Hacken
Geschützte Systemdateien ausblenden -> kein Hacken
Inhalte von Systemordnern anzeigen -> Hacken setzten
Versteckt Dateien und Ordner -> Alle Dateien und Ordner anzeigen ON (anwählen)

RISIKO:

Du kannst die angegebenen Dateien auch "Blind" fixen...
(Ob dann noch alles geht kann ich Dir nicht garantieren!)
Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Achtung: Alle Anwendungen bis auf HJ müssen geschlossen sein!)

Zitat

O4 - HKCU\..\Run: [Microsoft Update] smartftpcrackv1.3.exe
O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')
O4 - HKLM\..\RunServices: [Microsoft Update] smartftpcrackv1.3.exe
O4 - HKLM\..\Run: [Microsoft Update] smartftpcrackv1.3.exe
O4 - HKLM\..\Run: [system32OQJT Agent] C:\WINDOWS\system32OQJT.exe
O24 - Desktop Component 0: (no name) - file:///C:/DOKUME~1/Schmidt/LOKALE~1/Temp/msohtml1/01/clip_image002.jpg

Poste dann ein neues HJ-Log...

Chris