[marcs]

Hi,

ich hoffe ich bin mit dem Problem hier richtig.
Ein Kumpel von mir hat sich vor ca. 1 Woche einen Virus über das Internet eingefangen. Die Internetverbindung hatten wir kurz darauf sofort getrennt.
Der Virus macht sich durch eine aller 3 Minuten aufpoppende Bemerkung von wegen, dass der Rechner infiziert wäre und man sich spyware remover runterladen soll bemerkbar. Beim Klick auf OK öffnet sich der IE und bei Klick auf Abbrechen wird das Fenster lediglich geschlossen und man kann mit dem PC "weiterarbeiten. Über den Taskmanager kann ich nicht schauen, was sich da eingeschlichen hat, da uns vom Virus die Adminrechte entzogen wurden.

Ich habe mal Hijackthis über den Pc laufen lassen. Hier die Ergebnisse:

Zitat

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:23:46, on 26.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\acs.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\PROGRA~1\BANDWI~1\Bandwidth Monitor Pro.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\CNAB4RPK.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Andreas\Desktop\tool_de3.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=...6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\GetRight\xx2gr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: GNX Rolex - {EA7BD390-28E8-4B98-BED3-D39FA67567C4} - C:\WINDOWS\drnpfdxqfm.dll
O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O3 - Toolbar: etlrlws - {1A0B93F9-A39E-40E4-82D9-0CA3AD6A5660} - C:\WINDOWS\etlrlws.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [Bandwidth Monitor Pro] "C:\PROGRA~1\BANDWI~1\Bandwidth Monitor Pro.exe" /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: Mit GetRight laden - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Mit GetRight-Browser öffnen - C:\Programme\GetRight\GRdownload.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/m...01/mcinsctl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1196880377127
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.pe.studivz.net/photouploader...ache=1203268896
O21 - SSODL: bokpkov - {76556620-A2D9-43EB-8E04-9EEE506C9661} - C:\WINDOWS\bokpkov.dll
O21 - SSODL: altvxvm - {F3C66A44-2536-4136-A563-6190DCB09F67} - C:\WINDOWS\altvxvm.dll
O23 - Service: Atheros-Konfigurationsdienst (ACS) - Atheros - C:\WINDOWS\system32\acs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 7129 bytes

Ich hoffe mir kann jemand mit dem Problem helfen.

Grüße,
Marcs

[DanielDuesentrieb]

Diesen Eintrag unbedingt fixen:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=...6Ojg5&lid=2

Oder du fügst die LogFile HIER ein und schaust selber, was zu löschen ist.
Mit AntiVir bist du drüber gegagen? Spybot? Kaspersky? Ad-Aware?

Gruß

[marcs]

Vielen Dank für die schnelle Antwort!
Ich hab den Eintrag jetzt gefixt.

Mit Antivir bin ich schon drüber gegangen. Damit wurde nichts gefunden. Die Virendefinitionsdatei ist nun aber auch schon ungefähr 1 Woche alt (durch die Trennung des Notebooks mit dem Internet).
Ad-Aware werd ich gleich mal drauf installieren. Das habe ich noch nicht probiert.
Spybot lässt sich nicht installieren (Internetverbindung erforderlich zur Installation - oder gibt es Spybot auch als Offlineversion?).

Ich werde deine Lösungsvorschläge mal anwenden und gleich nochmal posten ob es etwas gebracht hat.

Ps.: Die Meldung erscheint immer noch (auch nach dem Fix durch Hijackthis)

[DON666]

Also ehrlich gesagt: Wenn ihr euch selbst nicht 100% sicher seid, was ihr da tut (was sich daraus ableiten läßt, dass ihr hier Hilfe sucht), dann kann ich eigentlich nur eins empfehlen:

- Kiste plätten (vorher wichtige Nutzdaten wegsichern)
- Sauber neu aufsetzen
- Problem gebannt

Ich weiß, das ist Arbeit, aber leider die einzig WIRKLICH sichere Methode, den Shit loszuwerden...


EDIT: Ach ja, und um den Ist-Zustand danach möglichst beizubehalten, am besten ein Backup mit Acronis o. ä. anlegen und vor allem zukünftig nicht mehr alles anklicken, was nicht bei 3 auf den Bäumen ist.

Dieser Beitrag wurde von DON666 bearbeitet: 26. März 2008 - 10:57

[Bullayer]

Lad dir auf nem sauberen Rechner die Ultimate Boot CD runter. Damit startest du den infizierten Rechner und lässt die Platte durchsuchen. Da sind Virenscanner mit drauf.

[marcs]

@don666: Hatte ich ihm auch schon vorgeschlagen, kommt für ihn aber vorerst nicht in Frage. Naja, kann man nix machen.

@Bullayer: Danke für den Tipp. Bin grad dabei die ISO runterzuladen und werde, falls die von danielduesentrieb vorgeschlagene Software zu keinem Erfolg führt, die Ultimate Boot CD Variante mal ausprobieren.

[kokomiko]

Ich stimme DON666 zu, platt machen und gut ist, denn man weiß nie, ob wirklich alle Malware verschwunden ist, einmal kompromittiert, immer kompromittiert.
Koko

[krauthead]

Diese Dateien sollten der Auslöser sein (laut Google und HiJackThis Seite):
O2 - BHO: GNX Rolex - {EA7BD390-28E8-4B98-BED3-D39FA67567C4} - C:\WINDOWS\drnpfdxqfm.dll
O3 - Toolbar: etlrlws - {1A0B93F9-A39E-40E4-82D9-0CA3AD6A5660} - C:\WINDOWS\etlrlws.dll

Diese Einträge (sofern Unbekannt für dich/deinen Freund) solltet ihr fixen.
Danach sollte zumindest nichts mehr vom Virus ausgeführt werden können bzw der Virus selbst weg sein.

Mfg
krauthead

//Edit

Und selbstverständlich wäre ich auch für eine neu Installation

Dieser Beitrag wurde von krauthead bearbeitet: 26. März 2008 - 11:19

[marcs]

@krauthead: Durch das Fixen des Eintrags

O2 - BHO: GNX Rolex - {EA7BD390-28E8-4B98-BED3-D39FA67567C4} - C:\WINDOWS\drnpfdxqfm.dll

ist zumindest schonmal ein blinkendes rotes Kreuz im Systray verschwunden. Die Meldungen kommen dennoch immer noch.

Den Eintrag

O3 - Toolbar: etlrlws - {1A0B93F9-A39E-40E4-82D9-0CA3AD6A5660} - C:\WINDOWS\etlrlws.dll

hab ich vorhin schon gefixt. Hat nix weiter gebracht (zumindest nichts, was bisher ersichtlich wäre).

Lass jetzt grad noch Ad-Aware 2007 drüberlaufen und werd mal schauen was dabei rauskommt. Falls das Problem weiterhin bestehen sollte kommt noch die Ultimate Boot CD. Sollte auch das nix bringen, werd ich ihm, sobald er wieder da ist, nochmal zu einer Neuinstallation ermutigen.

Vielen Dank soweit an alle Beteiligten hier!

[Urne]

Hast Du auch, wie es immer empfohlen wird, die betreffenden Einträge im abgesicherten Modus gefixt?

[marcs]

Ja, hab ich gemacht

EDIT:

So, ich habe mir nun das Programm SDFix heruntergeladen, den Rechner im abgesicherten Modus gestartet, das Programm drüberlaufen lassen, Neustart gemacht und nun sind die Meldungen weg, nix blinkt mehr etc.

Werde den Rechner trotzdem mal weiterhin im Auge behalten ob sich da noch was merkwürdiges tut und gegebenenfalls hier posten. Einziges weiterhin bestehendes Problem: Strg+Alt+Entf funktioniert immer noch nicht. Der Prozess wäre durch den Administrator beendet worden. Also ganz sauber ist hier noch nicht alles, aber schonmal ein erster kleiner Erfolg

Der Wurm hieß worm.win32.netsky.

EDIT 2:

Den Taskmanager habe ich mit folgendem Kommandozeilenbefehl wieder zum Laufen bekommen:

Zitat

REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f

LG,
Marcs

Dieser Beitrag wurde von marcs bearbeitet: 26. März 2008 - 12:30