Hallo, Leute!

Ich habe mir da ein spy-Programm eingefangen, und da Ihr, wie ich sehen konnte, schon ein paar Leuten mit diesem bestimmten Ding geholfen habt, hab' ich mich schnell mal registriert, um einen Hilfeschrei abzugeben.

Noch keine besonders auffälligen Probleme mit dem Computer, AntiVir und Spybot-Search&Detroy finden den Bot, aber loeschen bringt nichts.

Hier folgt erstmal der HijackThis log....

Logfile of HijackThis v1.99.0
Scan saved at 12:04:25, on 07.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\System32\alg.exe
D:\Programme\AntiVir\AVGUARD.EXE
D:\Programme\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\Fast.exe
C:\WINDOWS\System32\NVATray.exe
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\System32\fast.exe
D:\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SOUNDMAN.EXE
D:\programme\quicktime\qttask.exe
C:\programme\search-assistant\saap.exe
D:\Programme\AntiVir\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\Zubehör\Neko95.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\System32\svchost.exe
D:\util\winrar\WinRAR.exe
E:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.co.uk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.4mbo.de
F1 - win.ini: load=c:\01comm32\bin\01comm32.exe
N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.google.co.uk"); (C:\Programme\Netscape\Users\antje_g__frotscher\prefs.js)
O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\util\acrobat\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\SpybotS&D\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: My Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [EM_EXEC] D:\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [MOD] d:\programme\Microangelo\muamgr.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "D:\programme\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\RunOnce: [AAW] "D:\Programme\Ad-Aware SE Personal\Ad-Aware.exe" "+b1"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Neko95.lnk = ?
O8 - Extra context menu item: &Search - http://bar.mytotalsearch.com/menusearch ... CPXXXXXX59
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\OfficeXP\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.4mbo.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{FED736AA-DBA3-4BCA-B82A-6D5FC973F824}: NameServer = 131.220.159.234
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\Programme\AntiVir\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AntiVir\AVWUPSRV.EXE
O23 - Service: BrSplService - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Danke schonmal!!


ashnazg

öffne das HijackThis-->> Button "scan" -->> Häkchen setzen -->> Button "Fix checked" -->> PC neustarten

F1 - win.ini: load=c:\01comm32\bin\01comm32.exe
O2 - BHO: My Search BHO - {014DA6C1-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL
O3 - Toolbar: My Search Bar - {014DA6C9-189F-421a-88CD-07CFE51CFF10} - C:\Programme\MySearch\bar\1.bin\S4BAR.DLL
O8 - Extra context menu item: &Search - http://bar.mytotalsearch.com/menusearch ... CPXXXXXX59

PC neustarten

loesche:
C:\programme\search-assistant\saap.exe
C:\Programme\MySearch\bar\1.bin\S4BAR.DLL


#eScan-Erkennungstool
http://www.rokop-security.de/board/inde ... topic=3867
erstelle den Ordner c:\bases
mwav.exe runterladen, die Datei in den Ordner c:\bases (wichtig!) entpacken und danach kavupd.exe (Update- in DOS) ausführen

gehe in den abgesicherten Modus
http://www.tu-berlin.de/www/software/vi ... mode.shtml

loeschen temporaere Dateien
C:\WINDOWS\Temp\
C:\Temp\
C:\Dokumente und Einstellungen\user\Lokale Einstellungen\Temporary Internet Files\Content.IE5 (loesche nicht die index.dat)

und den Scanner mit der "mwav.exe"[oder:MWAVSCAN.COM] starten. Alle Häkchen setzen :
Auswählen: "all files", Memory, Startup-Folders, Registry, System Folders,
Services, Drive/All Local drives, Folder [C:\WINDOWS], Include SubDirectory
-->und "Scan " klicken.

mache bitte folgendes:
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein
jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw. (DAS MUSS DANN ALLES MANUELL GELOESCHT WERDEN)

und ganz unten steht die zusammenfassung, diese auch hier posten
+ DAS NEUE lOG VOM hIJACKtHIS

Lieber(r) nikita,

also allerherzlichsten Dank erstmal!

Ich habe die To-Do-Liste jetzt brav abgearbeitet, mit ein paar verzögerungen durch downloaden und updaten, und mit ein paar kleinen Problemen:

die Datei C:\Programme\MySearch\bar\1.bin\S4BAR.DLL gab's auf einmal nicht mehr,
und
ein Verzeichnis c:\Temp habe ich überhaupt nicht, und das Content.IE5-Verzeichnis war bei mir ganz woanders etc...also habe ich anscheinend ein paar Temp Dateine ungeloescht gelassen.

Nun ja, ich habe die von eScan al infiziert identifizierten Dateien jetzt gelöscht, wieder mit ein paar kleinen Problemen - hier ist die Liste und die Zusammenfassung erstmal:
Sat Jan 08 14:46:43 2005 => File C:\WINDOWS\NDNuninstall4_85.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Sat Jan 08 14:49:48 2005 => File C:\DOKUME~1\Antje1\LOKALE~1\Temp\wz9hvr3q.php infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.

Sat Jan 08 14:51:37 2005 => File C:\Dokumente und Einstellungen\Antje1\Anwendungsdaten\Mozilla\Profiles\Antje G. Frotscher\yl1utwlr.slt\Cache\86C122C1d01 infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken

Sat Jan 08 14:52:24 2005 => File C:\Dokumente und Einstellungen\Antje1\Lokale Einstellungen\Temp\wz9hvr3q.php infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.

Sat Jan 08 14:54:41 2005 => File C:\Programme\MySearch\bar\1.bin\S42NS.EXE infected by "not-a-virus:AdWare.ToolBar.MyWay.j" Virus. Action Taken: No Action Taken.

Sat Jan 08 14:55:44 2005 => File C:\RECYCLER\S-1-5-21-4247568029-4282951562-813958858-1005\Dc3.DLL infected by "not-a-virus:AdWare.ToolBar.MyWay.j" Virus. Action Taken: No Action Taken.

Sat Jan 08 15:03:04 2005 => File C:\WINDOWS\NDNuninstall4_85.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Sat Jan 08 15:17:23 2005 => File E:\Recycled\De20.exe infected by "not-a-virus:AdWare.180Solutions" Virus. Action Taken: No Action Taken.

Sat Jan 08 15:30:43 2005 => File C:\WINDOWS\NDNuninstall4_85.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.

Sat Jan 08 15:41:04 2005 => ***** Scanning complete. *****

Sat Jan 08 15:41:04 2005 => Total Files Scanned: 73979
Sat Jan 08 15:41:04 2005 => Total Virus(es) Found: 17
Sat Jan 08 15:41:04 2005 => Total Disinfected Files: 0
Sat Jan 08 15:41:04 2005 => Total Files Renamed: 0
Sat Jan 08 15:41:04 2005 => Total Deleted Files: 0
Sat Jan 08 15:41:04 2005 => Total Errors: 32
Sat Jan 08 15:41:04 2005 => Time Elapsed: 00:55:03
Sat Jan 08 15:41:04 2005 => Virus Database Date: 2005/01/08
Sat Jan 08 15:41:04 2005 => Virus Database Count: 115014

Sat Jan 08 15:41:04 2005 => Scan Completed.

Die Dateien E:\Recycled\De20.exe und File C:\RECYCLER\S-1-5-21-4247568029-4282951562-813958858-1005\Dc3.DLL kann ich aber nicht finden (jedenfalls nicht im normalen Windows-Explorer) - wie kommt man denn am besten an die Papierkörbe 'ran?

Nun ja, hier folgt erstmal das Log von HijackThis (das habe ich nach dem Neustart in normalem, nicht in abgesichertem Modus gemacht, ich hoffe, das war richtig):

Logfile of HijackThis v1.99.0
Scan saved at 16:27:28, on 08.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\AntiVir\AVGUARD.EXE
D:\Programme\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\NVATray.exe
C:\WINDOWS\System32\taskswitch.exe
C:\WINDOWS\System32\fast.exe
D:\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\WINDOWS\SOUNDMAN.EXE
D:\programme\quicktime\qttask.exe
D:\Programme\AntiVir\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
D:\Programme\Zubehör\Neko95.exe
C:\WINDOWS\System32\Fast.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\wuauclt.exe
E:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.co.uk/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.4mbo.de
N1 - Netscape 4: user_pref("browser.startup.homepage", "http://www.google.co.uk"); (C:\Programme\Netscape\Users\antje_g__frotscher\prefs.js)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\util\acrobat\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Programme\SpybotS&D\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe
O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe
O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe
O4 - HKLM\..\Run: [EM_EXEC] D:\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [MOD] d:\programme\Microangelo\muamgr.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [QuickTime Task] "D:\programme\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AntiVir\AVGNT.EXE /min
O4 - HKLM\..\Run: [SpybotSnD] "D:\Programme\SpybotS&D\SpybotSD.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Startup: Neko95.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\OfficeXP\Office10\EXCEL.EXE/3000
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.4mbo.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{4165663F-1CEB-4C20-AD0B-68AB56EEB2EF}: NameServer = 158.43.240.4 158.43.240.3
O17 - HKLM\System\CCS\Services\Tcpip\..\{FED736AA-DBA3-4BCA-B82A-6D5FC973F824}: NameServer = 131.220.159.234
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\Programme\AntiVir\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AntiVir\AVWUPSRV.EXE
O23 - Service: BrSplService - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Na dann, ich warte auf Deine Beurteilung!

Allerherzlichsten Dank nochmal,

ashnazg

#Windows Explorer -> "Extras/Ordneroptionen" ->
"Ansicht" -> Haken entfernen bei "Geschützte Systemdateien
ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen"
aktivieren -> "OK"

Datenträgerbereinigung: und Löschen der Temporary-Dateien
<Start<Ausfuehren--> reinschreiben : cleanmgr
loesche nur:
#Click:Temporäre Internet Files/Temporäre Internet Dateien, o.k.
#Click:Temporäre Dateien, o.k

#TuneUp2004 (30 Tage free)
http://www.tuneup.de/products/tuneup-utilities/
Cleanup repair -->TuneUp Diskcleaner
Cleanup repair -->Registry Cleaner

dann loescht du mit dem Shredder vom Tuneup:
C:\RECYCLER\S-1-5-21-4247568029-4282951562-813958858-1005\Dc3.DLL

dann lade die Killbox
http://www.bleepingcomputer.com/files/killbox.php
und kopiere rein:

C:\Programme\MySearch\bar\1.bin\S4BAR.DLL
C:\DOKUME~1\Antje1\LOKALE~1\Temp\wz9hvr3q.php
C:\Programme\MySearch\bar\1.bin\S42NS.EXE
C:\WINDOWS\NDNuninstall4_85.exe

<Delete File on Reboot

und klick auf das rote Kreuz,
wenn gefragt wird, ob reboot-> klicke auf "no",und kopiere das naechste rein, erst beim letzten auf "yes"

dann scanne noch mal mit eScan (und berichte)

Hi, Nikita!

Also....die Dateien, die ich mit Killbox loeschen sollte, sind nicht mehr aufzufinden - ich habe sie einzeln nach Anweisung 'reinkopiert, und bekomme beim Versuch, zu rebooten, eine Nachricht: "Pending File Rename Operations Registry Data has been Removed by External Process" - und der Computer wird nicht neugestarted. Auch die infizierte Datei im Recycler ist weg, und mit dem Tuneup Shredder nicht zu finden.

Ich hatte das System mit Tuneup aufgeräumt, und jetzt eben mit eScan nochmal im abgesicherten Modus gescannt - der Scan hat 8 Dateien gefunden, aber alle als "tagged as not-a-virus", und keine mehr als "infected".

Heisst das, das System ist jetzt wieder sauber?

Hoffnungsvoll,

ashnazg

Ja, dann ist das System wieder sauber

Hurrah!!!

Na, dear Nikita, dann allerherzlichsten Dank für die schnelle und individuelle Hilfe - das war wirklich fantastisch! Du hast mir mit Sicherheit mehrere schlaflose Nächte und einige vorzeitig ergraute Haare erspart....

Mit Tränen der Dankbarkeit in den Augen und Kotaus an den Retter meines Computers,

ashnazg