Habe Virus per email bekommen + Hijackthis-Log + Firefox funktioniert nicht mehr

#0
08.10.2007, 14:05
Member

Beiträge: 77
#1 Hi!
Auf meinem PC ist ein Virus per email draufgekommen, nun funktioniert Firefox nicht mehr und der Virenscanner spielt verrückt!
Hiermein HijackThis Log:

Logfile of HijackThis v1.99.1
Scan saved at 13:58:27, on 08.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\Explorer.EXE
C:\Programme\F-Secure Internet Security\Common\FSM32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\PROGRA~1\F-SECU~1\ANTI-S~1\fsaw.exe
C:\Programme\F-Secure Internet Security\backweb\1245240\Program\fspex.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\F-Secure Internet Security\FSGUI\fsguidll.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\SATTEI~1.ANN\LOKALE~1\Temp\Rar$EX01.109\HijackThis.exe

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure Internet Security\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure Internet Security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Programme\F-Secure Internet Security\FSGUI\FSSW.EXE" /reboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: F-Secure 2006 OEM.lnk = C:\Programme\F-Secure Internet Security\backweb\1245240\Program\fspex.exe
O8 - Extra context menu item: Dieses Popup &blockieren - C:\Programme\F-Secure Internet Security\Anti-Spyware\blockpopups.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: IE-Schutzschild - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE-Schutzschild... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Programme\F-Secure Internet Security\Anti-Spyware\ieshield.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1159636935703
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1159637507296
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: F-Secure 2006 OEM (BackWeb Plug-in - 1245240) - F-Secure Internet Security 2005 - C:\PROGRA~1\F-SECU~1\backweb\1245240\Program\SERVIC~1.EXE
O23 - Service: cyberJack PC/SC Service (cjPCSC) - REINER SCT - C:\WINDOWS\system32\cJPCSC.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Programme\F-Secure Internet Security\backweb\1245240\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programme\F-Secure Internet Security\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Unknown owner - C:\Programme\iPod\bin\iPodService.exe (file missing)
O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SSScsiSV.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
Seitenanfang Seitenende
08.10.2007, 14:54
Member
Avatar Chris4You

Beiträge: 694
#2 Hi,

bitte deutlicher, was funktioniert nicht mehr, was kam genau mit dem Email an?

Bitte vollständig abarbeiten, neuen JH-Downloaden:
Nenne die HJ-EXE vor dem start auf test.com um (im aktuellen Log ist nichts zu erkennen!).
http://board.protecus.de/t23188.htm
- Erstellen eines Hijackthis-Logfiles ((http://sicher-ins-netz.info/analyse/hjt.html)
- CleanUp (temporaeren Dateien loeschen)
- Combofix
- Logfiles mittels datfind.bat (alle Files, nur die letzten 3-6 Monate posten)

Dann noch ein Log vom Silentrunner:
Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen.
Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde,
bitte in Editor laden und posten.
http://www.silentrunners.org/Silent%20Runners.zip

Chris
Seitenanfang Seitenende
08.10.2007, 18:02
Member

Themenstarter

Beiträge: 77
#3 alsooo
mein dad hat da so ne email geöffnet und da war unten ein link in der email hat sich wer als seine schulfreundin ausgegeben....auf jeden fall warn dann so komische bildergallerien als zip aufm desktop und er hats geöffnet, so hat er mir es beschrieben, ich hab nen virendurchsuchung gemacht und hab alles gelöscht, 1 trojaner 1 virus^^ dann ging firefox nicht mehr, vor dem scan und nach dem scan, hab firefox neu installliert und funtzt jetz auch wieder, ich hab jetz den hijackthis hier reinkopiert als absicherung ob noch i-was aufm rechenr drauf ist !
Seitenanfang Seitenende
08.10.2007, 18:48
Moderator

Beiträge: 7805
#4 Wenn das von der lieben "Anne Behnert" war, installiert dir das einen Bzub, der alle Passworte klaut und alles klaut, was ueber Formulare eingegeben wird. schaue mal im System32 Ordner nach einer Datei namen form.txt. kannst sie dir mal ansehen....

Die dll koennte cmstp.dll heissen und ist auch im System32 Ordner....
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
08.10.2007, 22:30
Member

Themenstarter

Beiträge: 77
#5 ja das is der gewesen^^
klaut der auch die sachen welche man bei amazon ebay usw. eingibt, also benutzername und PW?
wie bekomme ich den weg?! o. is der schon weg?!?
Seitenanfang Seitenende
09.10.2007, 06:48
Moderator

Beiträge: 7805
#6 Hast du nach der form.txt geschaut? Also ich wuerde auf jeden Fall die Passworte wechseln, die auf dem REchner gespeichert sind und die waerend des Trojanerbefalls eingegeben wurden. Der Trojaner besteht derzeit nur aus der einen DLL
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
09.10.2007, 13:29
Member

Themenstarter

Beiträge: 77
#7 d.h. die dll und die form.txt wenn vorhanden löschen?!
Seitenanfang Seitenende
09.10.2007, 14:43
Moderator

Beiträge: 7805
#8 Ja, aber die DLL sollte schon weg sein, da kein Passender "O2" Eintrag dazu besteht... Die Form.txt solltest du dir mal mit Notepad ansehen, dort sind einige geklauten Daten im Klartext zu sehen..
__________
MfG Ralf
SEO-Spam Hunter
Seitenanfang Seitenende
09.10.2007, 17:03
Member

Themenstarter

Beiträge: 77
#9 ok werd ich morgn mal machen^^, bin nämlich ned bei meinem dad @ home, hab aber die wichtigsten sachen wie amazon,email,ebay usw umgeändert;)
Seitenanfang Seitenende
14.10.2007, 00:50
...neu hier

Beiträge: 1
#10 hi, bei mir mir ist ebenfalls so ein ding aufm rechner.
hiermein log

Seitenanfang Seitenende
14.10.2007, 01:04
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#11 Schliesse alle Fenster und starte Hijack This
Klicke: Do a Systemscan only
Setze ein Häckchen in das Kästchen vor den genannten Eintrag bei

O4 - HKLM\..\Run: [Loud Idol Setup Grid] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\4 Curb Loud Idol\poke internet.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

klicke: Fix checked
Dein Internet Explorer muss geschlossen wenn Du Fix Checked klickst

Download GV-Killer zum Desktop

Doppelklick GV-Killer und Editor wird sich oeffnen
Wenn schon ein text da steht entferne es und kopiere dass unterstehende wieder rein:

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\4 Curb Loud Idol\poke internet.exe

Schliesse den Editor und Speichere die Daten
Klicke " Kill on reboot " und lass dein Rechner neu starten
GV_Killer.exe wird jetzt neu starten und gebe die Erlaubnis die Ordner zu entfernen
Wenn es gelungen ist GV_Killer abschliessen

Scanne mit DrWeb http://board.protecus.de/t29350.htm
__________
MfG Argus
Seitenanfang Seitenende