Win XP: Malware EXP/Shellcode.I

http://www.computerhilfen.de/info/anleitung-zum-loeschen-von-viren-und-trojanern.html

http://www.computerhilfen.de/info/sicherheit

Mein Vorschlag ...
Generell ...
sollte man seine Daten nach Befall sichern ,und den PC neu aufsetzen (Formatieren & Installieren) .....

--------------------

zuerst : Browsercache & Cookies löschen

Plattenbereinigung machen zum löschen aller temporären Dateien
Zubehör .....oder :
Arbplatz , Rechtsklick auf die Platte , Eigenschaften ,Bereinigen

danach :
HijackThis , im Normalmodus !
Log  hier posten.

dann :
MalwareBytes  Vollscan im Normal-Modus machen....
Achtung :
vor Scan >> 1x "Update" anklicken ...  !
Log   hier posten.

------------------------------------------------------------------------------------------
Virenscan  mit DEINEM Virprog.
Unbedingt immer im abgesicherten Modus machen  !

Denn im Normalmodus sind etliche Dateien gesperrt .
Ausserdem verstecken sich welche ggf in der Systemwiederherst.
Vor dem Scan dort unter SYSTEM die Systemwiederherstellumg AUS ,
(vorsicht, alle Punkte sind dann weg)

----------------
Viren-Vollscan machen imabges. Modus mit DEINEM Virprog.
---------------

Systemwiederherst. wenn OK = wieder AN
Normalstart und Systemwiederherstellungspunkt setzen .

=============================================

HijackThis :
http://www.computerhilfen.de/info/hijackthis-anleitung.html
http://www.hijackthis.de/     <<< Download & Auswertung

---------------------------------------------------------------------------------------------

MalwareBytes  :
http://www.computerhilfen.de/info/malwarebytes-anleitung.html

--------------------------------------------------------------------------------------------

Abgesicherter Modus:
Beim Start des PC  mehrfach die F8 drücken , spätestens beim  PIEP
des schwarzen Schirms mit dem Blinkstrich ....

Alternativ :
msconfig  <<< ausführen , dann Diagnosestart wählen .
Später wieder auf "normalen Systemstart" umstellen !!

---------------------------------------------------------------------------------------------

Vista:           *** SysWdh.jpg ***   Bild unter Hilfe.pic
SYS-WDH AN/AUS in Vista ... in Syst-Steu.: "Computerschutz eingebe bei Suche.
Dann  auf "ein-ausschalten" & Haken bei Platten raus ...

-----------------------
XP
Systemwiederherstellung   AUS
Rechtsklick auf Arbeitsplatz
Eigenschaften , Systemwiederherstellung
Deaktivieren AN-haken : <<< Vorsicht , damit sind ALLE Punkte weg !!

Systemwiederherstellung   AN
Eigenschaften , Systemwiederherstellung
Deaktivieren AB-haken
Danach ggf Wiederherstellungs-Punkt setzen .
 z.B. Start , Hilfe & Supp. , System-WDH , neuen Punkt setzen

-------------------------------------------------------------------------------------------------------------

Wenn alles nicht hilft :
Scannen mit LiveCD .....
http://www.freedrweb.com/livecd/

------------------------------------------------

Datensicherng mit Knoppix-CD
http://www.computerhilfen.de/info/video-anleitung-daten-retten-mit-knoppix-2.html

----------------------
oder
BartPe-LiveCD
http://www.wintotal.de/Artikel/pebuilder/pebuilder.php

http://www.computerhilfen.de/jueki/BartPE-CD_mit_Deutscher_Oberflaeche.pdf

http://www.nu2german.de/pebuilder319.shtml

http://www.pebuilder.de/

http://www.pcwelt.de/downloads/108595/

-------------------------------------------------------------------------------------------------------------

Entsprechend der Anleitung poste ich hier mein HijackThis-log und bitte um Hilfe. Die Malware fand AntiVir heute.
Danke und Gruß  Ellen

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:03:29, on 03.08.2010
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\Tobit Radio.fx\Server\rfx-server.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\Smtray.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\OpenOffice.org1.0.1\program\soffice.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\HP\Digital Imaging\bin\hpqimzone.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [MMReminderService] C:\Programme\Mindjet\MindManager 6\MMReminderService.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKCU\..\Run: [pdfSaver3] "C:\Programme\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\NPSWF32_FlashUtil.exe -p
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 1.0.1.lnk = C:\Programme\OpenOffice.org1.0.1\program\quickstart.exe
O4 - Global Startup: HP Photosmart Premier – Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/SharedContent/common/bin/cabsa.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Radio.fx Server (Radio.fx) - Unknown owner - D:\Tobit Radio.fx\Server\rfx-server.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 6441 bytes
 

Hallo

Malware ist auf dem Logfile keine zu erkennen.

Mal noch einen Scan mit Malwarebytes machen

Allerdings ist das System extrem ungepflegt / veraltet.

Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Seit Mitte 2008 gibt es das Servicepack 3, seit Mitte 2009 den IE 8.

C:\Programme\OpenOffice.org1.0.1\program\soffice.exe

Mittlerweile haben wir Open Office 3.2.1......

Laden:

http://www.microsoft.com/downloads/details.aspx?FamilyId=5B33B5A8-5E76-401F-BE08-1E1555D4F3D4&displaylang=de

http://www.microsoft.com/germany/windows/internet-explorer/worldwide-sites.aspx

http://de.openoffice.org/



 

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE

Diese Einträge sind überflüssig und können gelöscht werden.
ctfmon remover downloaden, durchführen, sonst trägt er sich immer wieder in den Systemstart ein:

http://www.chip.de/downloads/CTFMON-Remover_29018580.html

Zusätzlich mal durchführen:

Start>ausführen>msconfig eingeben>return und im Systemstart alle haken rausnehmen, bis auf Dein AntiVir Prog.
 

Vielen Dank dafür! Ich habe zwischenzeitlich auch Malwarebytes durchlaufen lassen, mit dem gleichen Ergebnis. Auch habe ich aufräumen und säubern lassen, ich nutze aktuellen Firefox, und openoffice schon lange nicht mehr ... Trotzdem danke auch dafür. Der PC ist nur noch Lager und Anlaufstation fürs Netz und wird nächstens außer Dienst gestellt.
Grüße!

Keine Ursache, gerne wieder !

Gruss A K

 

Der PC ist nur noch Lager und Anlaufstation fürs Netz und wird nächstens außer Dienst gestellt.

Und bis dahin dient er als Virenschleuder, nur weil DU zu faul bist, ihn wenigstens auf die aktuellen Windows-Sicherheitsstandards zu bringen?

Sehr unsozial