SpyWorm Win32 und weiterer Befall

#1 Protecus.de Security Forum & Community

Hallo!
Bin neu hier und hätte gerne Hilfe, denn mein PC ist scheinbar von Virus bzw Trojaner befallen.
Habe versucht die hier vorgegebenen Aktionen bereits auszuführen und setze hier die Texte ein - hoffentlich richtig.
BITTE HIER UM HILFE!!!!!

1. - SmitFraudFix
mitFraudFix v2.299

Scan done at 14:41:26,64, 02.03.2008
Run from C:\download\SmitfraudFix
OS: Microsoft Windows [Version 6.0.6000] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts


127.0.0.1 localhost
::1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

C:\Program Files\Helper\ Deleted
C:\Program Files\NetProject\ Deleted

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: NameServer=85.255.116.78 85.255.112.126
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: NameServer=85.255.116.78 85.255.112.126
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: NameServer=85.255.116.78 85.255.112.126


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

2. ATF Cleaner durchgeführt (hoffentlich richtig)

3. Combofix
Funktioniert leider nicht - siehe Anhang

4. Hijackthis
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:52, on 2008-03-02
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16609)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Common Files\Gnab\Service\GnabTray.exe
C:\Program Files\Sceneo\AbsolutTV\Services\ODSBC\ODSBCApp.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Alwil Software\Avast4\ashDisp.exe
C:\Programme\HP\HP Software Update\hpwuSchd2.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe
C:\Windows\ehome\ehtray.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Users\Hans Schuldt\AppData\Local\Temp\Temp1_HiJackThis.zip\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [GnabTray] C:\Program Files\Common Files\Gnab\Service\GnabTray.exe -checkstart
O4 - HKLM\..\Run: [TVBroadcast] C:\Program Files\Sceneo\AbsolutTV\SERVICES\ODSBC\ODSBCApp.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\GoogleEULA\EULALauncher.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-1170-17534-28/4 (file missing)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-1170-17534-28/4 (file missing)
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: eBay - Der weltweite Online-Marktplatz - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-1170-17534-28/4 (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: eBay - {0B65DCC9-1740-43dc-B19C-4F309FB6A6CA} - http://rover.ebay.com/rover/1/707-1170-17534-28/4 (file missing) (HKCU)
O13 - Gopher Prefix:
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.78 85.255.112.126
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.78 85.255.112.126
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.78 85.255.112.126
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~2\GOEC62~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Program Files\ALDI Foto Service Nord\Common\Database\bin\fbserver.exe
O23 - Service: GnabService - Empolis GmbH - c:\program files\common files\gnab\service\servicecontroller.exe
O23 - Service: GoogleDesktopManager - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktopManager.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program Files\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - C:\Program Files\Sceneo\AbsolutTV\Services\PVR\PVRService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 6793 bytes



Hilft das weiter??????

Bitte um Hilfe! DANKE

#2 schutzengel

1.
HijakThis
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
der im SicherheitsForum als zu "fixen" (löschen) empfohlen wurde) - keine anderen !!
und wähle fix checked.

Zitat

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.78 85.255.112.126
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.78 85.255.112.126
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.78 85.255.112.126

2.
wende fixwareout an
http://virus-protect.org/artikel/tools/fixwareout.html
poste nach neustart den report

+
das neue Log vom HijackThis
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#3

Zitat

Pinguin postete
schutzengel

1.
HijakThis
Setze ein Häckchen in das Kästchen vor den genannten Eintrag
der im SicherheitsForum als zu "fixen" (löschen) empfohlen wurde) - keine anderen !!
und wähle fix checked.

Zitat

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.78 85.255.112.126
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.78 85.255.112.126
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.78 85.255.112.126

2.
wende fixwareout an
http://virus-protect.org/artikel/tools/fixwareout.html
poste nach neustart den report

+
das neue Log vom HijackThis

SORRY!! Tut mir leid, aber das verstehe ich nicht. Soll ich HJT nochmals aufrufen und dann WAS?? anhaken? Oder soll ich an anderer Stelle etwas löschen?? WO finde ich Infos darüber im Forum.???? Habe zwar so einiges angesehen, aber DAS, was ich hier tun soll, das habe ich nicht gesehen. Bitte gib mir einen Hinweis, wo ich das finden kann.

Vielen Dank für die Mühe

#4 ja, HijackThis aufrufen
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag - vor keine anderen !!!
und wähle fix checked

Zitat

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.78 85.255.112.126
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.78 85.255.112.126
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.78 85.255.112.126

««
wende fixwareout an
http://virus-protect.org/artikel/tools/fixwareout.html
poste nach neustart den report

+
das neue Log vom HijackThis
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#5 Hallo Pinguin!!

Vielen Dank für die Mail, ..... aber ich befürchte diese Antwort wird niemandem gefallen.

Habe HijackThis ausgeführt und nur "Do a system scan only" angeklickt. Dann habe ich NUR die 017 Kästchen angehakt und fix checked gewählt. Tja .... keine Wirkung.
Danach habe ich fixwareout ausgeführt ....... leider gab es KEINEN REPORT!!

Im Anhang sende ich die erschienenen Warnfenster

Was nun??

#6 +
das neue Log vom HijackThis Ich versuche nun ein weiteres Warnfenster hier anzuhängen .... leider gibt es davon immer mehrere!

#7 wenn du angehakt hast, so ist es gut,,,, wenn dann der Rechner auf grund von fixwareout neustartet, werden die Eintraege von hijackThis AUTOMATISCH geloescht.
fixwareout erledigt den rest.....HOFFENTLICH funktioniert das proggie unter Vista... wahrscheinlich musst du MIT RTECHTSKLICK auf die exe klicken und dann «als Administrator öffnen« benutzen !

poste bitte ein neues log vom HijackThis hier

+
den report von fixwareout unter: C:\fixwareout\report.txt
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#8

Zitat

Pinguin postete
wenn du angehakt hast, so ist es gut,,,, wenn dann der Rechner auf grund von fixwareout neustartet, werden die Eintraege von hijackThis geloescht.
fixwareout erledigt den rest.

poste bitte ein neues log vom HijackThis hier

Hallo Pinguin,

Du bist so rasant schnell........ ich kann garnicht alle Problemfenster so schnell aufzeigen! Also Fixwareout startet nicht neu, weil es irgendwie nicht bis zum Neustart durchläuft. Alles läuft, die DOS-Fenster kommen und die Kommandos "irgendeine Taste drücken" kommen auch ...... und dann ist Ruhe. Kein Neustart, kein report ..... nur Ruhe!

Sorry, aber so ist das im wirklichen Leben. Nichts funktioniert so, wie man es möchte. (Kleiner Scherz! Weil ich etwas frustriert bin.)

#9 es kann schon sein, dass fixwareout nicht mit vista kompatibel ist...schade ..
also musst du die falsche Internetverbindung unter 017 mit dem HijackThis anhaken + selbst den PC neustarten

HijackThis aufrufen
Klicke: "Do a system scan only"
Setze ein Häckchen in das Kästchen vor den genannten Eintrag - vor keine anderen !!!
und wähle fix checked

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.78 85.255.112.126
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.78 85.255.112.126
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.78 85.255.112.126

dann poste das neue log vom HijackTHis
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#10 Hallo Pinguin,

gerne würde ich all Deine Anweisungen nochmals von vorne durchführen, aber der Rechner, der mit SpyWorm Win32 verseucht ist, der steht nicht hier bei mir, sondern ich muß jedesmal erst mit dem Auto hinfahren und dort alles ausführen. Der Rechner geht nur extrem eingeschränkt ins Internet und Mails schreibt er auch nicht ....... die Leistung des Rechners ist ziemlich runter. Daher kann ich nicht mit dem betroffenen Rechner Kontakt aufnehmen, sondern mache dies hier von meinem eigenen Rechner. Am Freitag werde ich den Rechner hier zu mir holen und dann mache ich alle Schritte nochmal von vorne.
Danach melde ich mich wieder .... viellleicht funktioniert es ja dann.

VIELEN DANK für Deine Mail
und bis Freitag!

#11 Hallo

also pass mal auf...dein Rechner ist mit überhaupt keinem Wurm verseucht, sondern du warst so "d...." und hast ein Programm geladen, was selbst der Virus ist - (ein Codec-Programm)
Das hat nun deine Internetverbindung umgeleitet..und deinen Rechner arg mitgenommen.
Die 017-Einträge müssen raus !!! Denn es ist nicht dein Provider, zu dem du geleitet wirst.

Der Frosch ist toll ! Danke
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#12 Hallo Pinguin!!

Zum Glück kann ich garnicht beleidigt sein, denn es ist ja NICHT MEIN RECHNER, um den es hier geht ..... daher bin ich ja nicht gemeint mit:
Zitat: sondern du warst so "d...." und hast ein Programm geladen, was selbst der Virus ist - (ein Codec-Programm)

Allerdings bleibt die Frage, was für ein schädliches CODEC das sein mag ..... damit man eine Wiederholung verhindert.???????!!!!!!!

Zitat: Die 017-Einträge müssen raus !!! Denn es ist nicht dein Provider, zu dem du geleitet wirst.

Nun, Hijack habe ich mehrfach durchzuführen versucht und auch 017 angekakt und fix checked angeklickt ..... allerdings OHNE ERFOLG!!
Kann ich die 017er auch anders löschen??????? Ich frage nur sicherheitshalber, falls Hijack auch beim vierten und fünften Versuch 017 nicht löscht.

Falls es da noch weitere Tips gibt: immer her damit! Ich versuche es!

Danke für die Mühe
und die Nachsicht mit den "D....." dieser Welt

#13 dein Bildchen ist sehr lustig...vor allem für mich, da nicht männlich

machen wir es so...hake die 017-Einträge an - dann klicke: fix checked., dann starte den Rechner neu...waehrend des Boootens loescht Hijackthis die Eintraege raus.

dann poste das neue Log vom HijackTHis... ich sehe nach

--------
dahin geht deine Internetverbindung...sind "alte" Bekannte...Internetbetrüger

Zitat

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.78 85.255.112.126

domain or IP address 85.255.116.78

Domain Name: INHOSTER.COM
Registrar: ESTDOMAINS, INC.
Whois Server: whois.estdomains.com
Referral URL: http://www.estdomains.com
Name Server: NS1.INHOSTER.COM
Name Server: NS2.INHOSTER.COM
Status: ok
Updated Date: 17-may-2006
Creation Date: 01-jun-2005
Expiration Date: 01-jun-2011

Registrant:
Inhoster Inc.
Andrei Kislizin (support@inhoster.com)
Lenina str. 23/95
Odessa
,54302
UA
Tel. +38.0664637362
Fax. +38.0664637362

__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#14 Ein Bild von mir


Falsche Codecs





__________
MfG Argus

#15 Hallo Pinguin!!

Nun ist - vor lauter Begeisterung - etwas Zeit verstrichen ........
aber ich kann nun mit Recht sagen: DANKE, Pinguin ist ein Genie.
Hat jetzt endlich funktioniert und alles läuft (zumindest momentan!!) wie am Schnürchen.

VIELEN DANK
uns.....siehe Anhang!!!