[unicorn62]

Guten Morgen!

Ich habe den PC von einem Bekannten hier stehen, bei dem sich ständig ein PopUp öffnet: "(null)" konnte nicht gefunden werden. Stellen Sie sicher...blablabla.

Ich habe ein Screenshot angefügt.

Betriebssystem ist XP, SP3. Norton Personal Firewall und AV Antivir sind installiert. Ist das trotzdem ein Virus oder Trojaner oder ähnliches? Habe mal gegoogled und nix hilfreiches gefunden... Hatte von Euch jemand schon mal das Prob?

Danke für Eure Hilfe

PS: habe mal den Rechner vom Internet getrennt - dann scheint es weg zu sein...
PS PS: nee, doch nicht - ist nur nicht mehr so häufig.

Angehängte Miniaturbilder

• 

Dieser Beitrag wurde von unicorn62 bearbeitet: 01. November 2008 - 09:21

[unicorn62]

Habe auch noch ein Highjackthis-Log (bei der Auswertung auf der HJT-Seite wurde nix gefunden...):

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:15:40, on 01.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\csrss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\spoolsv.exe
I:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
I:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
I:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
I:\Programme\avmwlanstick\WlanNetService.exe
I:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
I:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
I:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
I:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
I:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
I:\Programme\HHVcdV6Sys\VC6SecS.exe
I:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
I:\WINDOWS\System32\alg.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\Explorer.EXE
I:\WINDOWS\system32\RunDll32.exe
I:\WINDOWS\Dit.exe
I:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
I:\Programme\HHVcdV6Sys\VC6Play.exe
I:\Programme\avmwlanstick\wlangui.exe
I:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
i:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
I:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
I:\WINDOWS\system32\rundll32.exe
I:\WINDOWS\DitExp.exe
I:\Programme\Messenger\msmsgs.exe
I:\WINDOWS\System32\svchost.exe
I:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
I:\Programme\GIGA F-Tasten\GIGA F-Tasten.exe
I:\Dokumente und Einstellungen\Kevin\Anwendungsdaten\Gool\Gool.exe
I:\WINDOWS\system32\ctfmon.exe
I:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
I:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
i:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
I:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
I:\Programme\Internet Explorer\iexplore.exe
i:\programme\avira\antivir personaledition classic\avcenter.exe
I:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
I:\Programme\Trend Micro\HijackThis\HijackThis.exe
I:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft....k/?LinkId=69157
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: Norton Personal Firewall - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - I:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - i:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [ATIPTA] I:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [VC6Player] I:\Programme\HHVcdV6Sys\VC6Play.exe
O4 - HKLM\..\Run: [AVMWlanClient] I:\Programme\avmwlanstick\wlangui.exe
O4 - HKLM\..\Run: [ccApp] "I:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [StartCCC] "i:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [avgnt] "I:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [000000af] rundll32.exe "I:\WINDOWS\system32\evganibq.dll",b
O4 - HKLM\..\RunServices: [DJSNetCN] I:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [MSMSGS] "I:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "I:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [swg] I:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [GIGA F-Tasten] I:\Programme\GIGA F-Tasten\GIGA F-Tasten.exe
O4 - HKCU\..\Run: [Gool] "I:\Dokumente und Einstellungen\Kevin\Anwendungsdaten\Gool\Gool.exe"
O4 - HKCU\..\Run: [ctfmon.exe] I:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [UberIcon] "I:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - Startup: RocketDock.lnk = I:\WINDOWS\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
O4 - Startup: TransBar.lnk = I:\WINDOWS\BricoPacks\Vista Inspirat 2\TransBar\TransBar.exe
O4 - Startup: UberIcon.lnk = I:\WINDOWS\BricoPacks\Vista Inspirat 2\UberIcon\UberIcon Manager.exe
O4 - Startup: Ubisoft register.lnk = I:\Programme\Ubisoft\Register\schedule.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - I:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - I:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - I:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - I:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - I:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx...owserPlugin.cab
O20 - AppInit_DLLs: ehpqcz.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - I:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - I:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - I:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - I:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - I:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVM WLAN Connection Service - AVM Berlin - I:\Programme\avmwlanstick\WlanNetService.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - I:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - I:\Programme\Norton Personal Firewall\ccPwdSvc.exe
O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - I:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - I:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - I:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O23 - Service: Google Updater Service (gusvc) - Google - I:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LiveUpdate - Symantec Corporation - I:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - I:\Programme\Gemeinsame Dateien\Symantec Shared\Security Console\NSCSRVCE.EXE
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - I:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - I:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - I:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - I:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - I:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: Virtual CD v6 Management Service (VC6SecS) - H+H Software GmbH - I:\Programme\HHVcdV6Sys\VC6SecS.exe

--
End of file - 9907 bytes

[unicorn62]

Kennt niemand dieses Symptom?

Ich habe Antivirus mal geupdatet und einen Systemscan gemacht: 17 Funde - alles Trojaner wie zB. TR/Dldr/Agent.ajs und TR/Vundo.dvx.2

Habe über Antivir alles gelöscht, aber das PopUp bleibt. Format C notwendig?

[NewRaven]

Zitat (unicorn62: 01.11.2008, 11:54)

17 Funde - alles Trojaner

Format C notwendig?

Aber sowas von... noch viel notwendiger ist aber, mit dem Bekannten zu sprechen und ihm klar zu machen, wo seine Fehler lagen (und bei 17 verschiedenen Malware-Arten, die nicht bemerkt wurden, gibts da wahrscheinlich ne Menge klarzumachen ). Die Stickies im Sicherheitsforum werden dir sicher eine Hilfe sein. Sowohl was eine sicherere Neueinrichtung auf einer soliden Basis als auch, was die Argumentation bei der Beratung deines Bekannten angeht.

Dieser Beitrag wurde von NewRaven bearbeitet: 01. November 2008 - 11:13

[Ler-Khun]

Ja. Nach so vielen Funden sollte sich die Frage gar nicht stellen.
Selbst wenn "alles" im abgesicherten Windows-Modus gelöscht wurde.
Wer weiß was da schon alles durch die Malware verändert wurde und oder nicht gefunden wurde.

[unicorn62]

Ja, Ihr habt wohl recht... Aber der Kleene weint ja jetzt schon wegen den vielen Spielen, die er installiert hat und die dann alle weg sind. Na - kann man nix machen.

Mich hat es aber gewundert, das HJT nix gefunden hat. Ich dachte immer, das wäre recht sicher...

[Spiderman]

HJT kennt/scannt auch nicht alle Startarten von Schadsoftware, und ob eine exe noch sauber ist kann kein Virenscanner mit 100%er Sicherheit sagen.

Also bleibt nur, alles platt machen, und neu aufspielen.

Gruß
Spiderman

[klawitter]

naja, die spielstände zu sichern und wieder einzuspielen ist ja keine schwierige übung, nach entsprechender externer(!) viren- und malwareprüfung versteht sich:
startet von einem linux-livesystem und zieht alle spielstände aus den entsprechenden ordnern auf einen usb-stick oder eine neue, cleane partition auf der platte. die spielstände sind entweder im programmordner des spiels selbst oder in einen (profil)ordner unter eigene daten -> anwendungsdaten oder -> lokale einstellungen zu finden.

die daten werden dann erst mal im neuen system komplett in quarantäne geschickt und nochmal geprüft und dann erst 'rausgelassen'.

kann mir schon gut vorstellen, dass das teil bereits komplett gekapert ist und als zombie sein unwesen treibt. da hilft kein scanner im system mehr.

klawitter


ps: erklär deinem freund vlt. mal, dass der grösste teil an unrat per persönlicher einladung des users auf den rechner kommt: cracks, links auf 'underground-seiten', porno-bildchen, wunderwas-freeware, du-hast-gewonnen-mails und -popups etc...

Dieser Beitrag wurde von klawitter bearbeitet: 01. November 2008 - 15:10

[unicorn62]

Ja - werde dem Kurzen mal Eure Kommentare ausdrucken. Ich hoffe, er lernt was!

Danke noch mal!