Immer nur Sonnenschein wär ja auch zu hell...hilfe

[Trinity-the-One]

Kann sich bitte mal jemand von euch mein LogFile zu Gemüte führen? Mit meinem PC ist einiges im Argen... Am meisten stört mich im Moment eine dämliche Win Min Fehlermeldung beim Runterfahren - bitte helft mir. Bin absolut PC-unbegabt...

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\windows\system32\winapm32.exe
C:\WINDOWS\System32\vpc32.exe
C:\Programme\Messenger\msmsgs.exe
C:\windows\dllhlp.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\T-Online\T-Online_Software_5\Browser\Browser.exe
C:\Programme\Real\RealOne Player\rphelperapp.exe
C:\Programme\Real\RealOne Player\rphelperapp.exe
C:\Programme\Real\RealOne Player\rphelperapp.exe
C:\Programme\Real\RealOne Player\rphelperapp.exe
C:\Programme\Real\RealOne Player\rphelperapp.exe
C:\Programme\Real\RealOne Player\rphelperapp.exe
C:\Programme\Real\RealOne Player\rphelperapp.exe
C:\Programme\Real\RealOne Player\rphelperapp.exe
C:\Programme\Real\RealOne Player\rphelperapp.exe
C:\Programme\Real\RealOne Player\rphelperapp.exe
C:\Programme\Real\RealOne Player\rphelperapp.exe
C:\Programme\Real\RealOne Player\rphelperapp.exe
C:\Programme\Real\RealOne Player\rphelperapp.exe
C:\Programme\Real\RealOne Player\rphelperapp.exe
C:\Programme\Real\RealOne Player\rphelperapp.exe
C:\Programme\Real\RealOne Player\rphelperapp.exe
C:\Programme\Real\RealOne Player\rphelperapp.exe
C:\Programme\Real\RealOne Player\rphelperapp.exe
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\WINDOWS\System32\taskmgr.exe
C:\Dokumente und Einstellungen\David\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis_198.zip\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://yoursearcher.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://yoursearcher.com/index.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://yoursearcher.com/index.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://yoursearcher.com/sp.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://yoursearcher.com/index.htm
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O2 - BHO: Elitum EliteBar - {FA6548E9-78F5-4025-9D7B-FC1367789C38} - C:\WINDOWS\EliteBar\EliteBar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\olecom32.exe
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [NeroNETTrayIcon] C:\Programme\Ahead\NeroNET\NNServiceCtrl.exe
O4 - HKLM\..\Run: [4sp9nx29eu] c:\temp33.exe
O4 - HKLM\..\Run: [SysA] C:\windows\system32\winizj32.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Sys29] C:\windows\system32\winapm32.exe
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [cvchost] c:\windows\svchost.exe
O4 - HKCU\..\Run: [dllhelp] c:\windows\dllhlp.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{DBB08D5C-4059-4D31-A8EC-0DA0CA7CAFAD}: NameServer = 217.237.150.97 217.237.149.161

[Nikita]

Hallo @Trinity-the-One

scanne noch einmal mit dem HijackThis, hake an, was ich schreibe, druecke auf <fix< und dann den PC neustarten

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\System32\mfplay.dll/sp.html (obfuscated)
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: Elitum EliteBar - {FA6548E9-78F5-4025-9D7B-FC1367789C38} - C:\WINDOWS\EliteBar\EliteBar.dll

O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\olecom32.exe
O4 - HKLM\..\Run: [4sp9nx29eu] c:\temp33.exe
O4 - HKLM\..\Run: [SysA] C:\windows\system32\winizj32.exe
O4 - HKLM\..\Run: [Sys29] C:\windows\system32\winapm32.exe
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [Microsoft Update Time] wuam.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [cvchost] c:\windows\svchost.exe
O4 - HKCU\..\Run: [dllhelp] c:\windows\dllhlp.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe

neustarten

Ueberpruefe bitte jede einzelne exe mit Kaspersky und poste mir das Ergebnis:
Kaspersky (Online)
http://www.kaspersky.com/remoteviruschk.html

1.C:\WINDOWS\olecom32.exe
2.c:\temp33.exe
3.C:\windows\system32\winizj32.exe
4.C:\windows\system32\winapm32.exe
5.C:\WINDOWS\System32\vpc32.exe
6.c:\windows\System32\cvchost.exe
7.C:\WINDOWS\System32\wuam.exe
8.C:\Programme\Real\RealOne Player\rphelperapp.exe
9.C:\windows\dllhlp.exe
10.C:\windows\system32\winapm32.exe

#Deinstalliere:RealOne Player
Loesche alle:<rphelperapp.exe<
C:\Programme\Real\RealOne Player\rphelperapp.exe

Wenn du die Infos von Kaspersky , gebe ich dir Anweisungen zur Reinigung (falls du nicht lieber ueber eine komplette Neuinstallation von XP nachdenken willst.

mfg
Nikita

[Trinity-the-One]

Danke für deine Hilfe.
Hier mein KasperskyScan:

Scanned file: winapm32.exe

winapm32.exe - packed with FSG
winapm32.exe - infected by Trojan.Win32.StartPage.nk

Scanned file: vpc32.exe

vpc32.exe - packed with PE_Patch.Morphine
vpc32.exe - packed with Morphine
vpc32.exe - packed with UPX
vpc32.exe - infected by Backdoor.Rbot.gen


Scanned file: dllhlp.exe

dllhlp.exe - packed with UPX
dllhlp.exe - infected by Trojan.Win32.Bizten.gen

Scanned file: winapm32.exe

winapm32.exe - packed with FSG
winapm32.exe - infected by Trojan.Win32.StartPage.nk



Der Rest war entweder nicht mehr da oder clean.

[Nikita]

Hallo @Trinity-the-One

#Backdoor Functionality
http://www.trojaner-board.de/showpost.p ... ostcount=9
#Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig
http://oschad.de/wiki/index.php/Kompromittierung
_____________________________________________________
#Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

#loesche:
<winapm32.exe
<vpc32.exe
<dllhlp.exe
<winapm32.exe
<c:\temp33.exe

#Leere die Odner (nicht die Ordner selbst loeschen:
C:\Dokumente und Einstellungen\Default User\Cookies\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temp\*.*
C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\*.*

#Das eScan AV Toolkit (mwav.exe) herunterladen,
http://www.mwti.net/antivirus/free_utilities.asp
die Datei in den Ordner "c:\base" entpacken und danach die "kavupd.exe" (automatisches Update ueber DOS) ausführen.
<Abgesicherter Modus
http://www.bsi.de/av/texte/winsave.htm
und den Scanner mit der "mwav.exe" starten. Alle Häkchen setzen :
Auswählen: Memory, Startup-Folders, Registry, System Folders, Services, Drive/All Local drives und "Scan clean" klicken.

wieder in den Normalmodus gehen

#AdAware (free)
http://www.lavasoft.de/support/download/
VOR jedem Scanvorgang das Programm Updaten!
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.
Files, die Adaware findet, können bedenkenlos gelöscht werden

#CWShredder 1.59
http://www.chip.de/downloads/c_downloads_11353799.html
WÄHREND des Scanvorganges müssen ALLE sonstige Anwendungen beendet werden und alle Browserfenster müssen geschlossen sein!.

#Deaktivieren Wiederherstellung
http://service1.symantec.com/SUPPORT/IN ... 7105707924

#und noch mal mit eScan (mwav.exe) scannen. Dann abkopieren aus Log-Viewer:

was als <deleted< und <renamed< und <no action taken< gefunden wurde und das neue Log vom HijackThis noch mal posten.

mfg
Nikita

[Trinity-the-One]

Hallo @Nikita

So, hab fast alles gemacht. vpc32.exe ließ sich allerdings nicht löschen.
eScan hat beim zweiten Scannen nichts gefunden.

HijackThis:

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
C:\Programme\Ahead\NeroNET\NNServiceCtrl.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\System32\vpc32.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\Dokumente und Einstellungen\David\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis_198.zip\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
O4 - HKLM\..\Run: [NeroNETTrayIcon] C:\Programme\Ahead\NeroNET\NNServiceCtrl.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = C:\Programme\Ulead Systems\Ulead Photo Express 4.0 SE\CalCheck.exe
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O17 - HKLM\System\CCS\Services\Tcpip\..\{DBB08D5C-4059-4D31-A8EC-0DA0CA7CAFAD}: NameServer = 217.237.150.97 217.237.149.161

Schon mal jetzt vielen Dank für deine Mühe.

Ach ja; hatte zwar Wiederherstellung deaktiviert, dann hat aber mein Internet nicht mehr funktioniert. Musste das also reaktivieren.

[Nikita]

@Trinity-the-One

Du hast den SEHR gefaehrlichen Backdoor immer noch drauf:

Fixe:
O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe
O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe
O4 - HKCU\..\Run: [Microsoft Update] vpc32.exe

NEUSTARTEN

Nun, wo der Backdoor aus Autostart und Registry raus ist, (allerdings nur, wenn du nach dem Fixen den PC neu gestartest hast) muesstest du die exe loeschen koennen.
C:\WINDOWS\System32\vpc32.exe

Ehe du es begreifst, hat der Besitzer des Backdoors die Kontrolle ueber deinen PC uebernommen !!!!!
Schon jetzt sitzt im Moment jemand vor seinem PC und weiss genau, was auf deinem alles los ist.
Ich hatte dir ja den Link gepostet, damit du begreifst, wie verseucht dein Computer ist.!!!!!!
hier kannst du es noch mal genau nachlesen, was du dir eingefangen hast.
http://www3.ca.com/securityadvisor/viru ... x?id=39437

Ich glaube nicht, dass du korrekt mit <eScan< gescannt hast (im abgesicherten Modus und im Normalmodus...), denn das Antiviren-Tool muesste den C:\WINDOWS\System32\vpc32.exe --Backdoor loeschen .
Scanne also bitte noch einmal. (update vorher den Scanner mittels
kavupd.exe" (automatisches Update ueber DOS)

Dann lade auch dieses Tool:
CLRAV> Kaspersky DOS-Scanner
http://www.vsantivirus.com/util-clrav.htm

#dann poste das Log noch mal

mfg
Nikita