Vcodec-Trojaner + malware

[echtmolli]

Hallo,

ein vcodec-troianer hat mir malware draufgespielt (spywarequake). Ich habe daraufhin viele dieser mal-ware dateien (die die verrücktesten Sachen gemacht haben - u.a. Manipulation des Internet Explorers, Veränderung des Desktops etc.) im abgesicherten Modus gelöscht und folgende Programme mehrfach durchlaufen lassen:
- sophos antivirus
- adaware 1.06
- spybot search and destroy
- Ccleaner
- ewido anti-malware
- xoftspy 4.21 deluxe
- smithrem
- roguescanfix

Das ganze hat zwar viel gebracht, konnte aber den Rechner nicht 100 % reinigen. Es verbleibt immer noch ein kleines blinkendes Symbol im tray (roter Kreis mit diagonalem Strich bzw. eine Art grüner Rollstuhl) und es kommt regelmässig die Meldung: "Your computer is infected! Critical System Error! ....etc."
Kennt jemand dieses Problem? Über ein kurzes feedback würde ich mich sehr freuen.

Gruss echtmolli

 

[Sir_Sascha]

hast du diese ganzen Aktionen auch im abgesicherten Modus mal versucht?

 

[noway]

Naja, wenn dein System schon derart befallen und vielleicht auch immer noch kompromitiert ist. Schließlich weiß man ja nicht, was diese ganzen Programme da so alles für Türchen geöffnet haben , würde ich persönlich neu installieren - auch wenns viel arbeit bedeutet!
cu

 

[Miniwinni]

hast du diese ganzen Aktionen auch im abgesicherten Modus mal versucht?

Hallo,

hat er!

" des Desktops etc.) im abgesicherten Modus gelöscht und folgende Programme mehrfach durchlaufen lassen:................"

Versuchs mal mit a-squared.

Gruss

 

[echtmolli]

Danke für die Tips!
Ich konnte das Problem mittlerweile lösen - Das Symbol ist weg und er versucht auch nicht mehr, im offline-Modus die website von spywarequake zu öffnen (hatte ich vergessen zu erwähnen). Ich weiss nicht genau, wie ich das geschafft habe, jedenfalls bin ich im abgesicherten Modus nicht unter meinem Namen, sondern unter der Kennung "Administrator" rein und habe die Datei C:\WINDOWS\system32\sivudro.dll umgeschrieben in ....sivudro.dll.bad (die sivudro.dll scheint wohl dafür verantwortlich gewesen zu sein). Danach ging es. Momentan ist alles "ruhig" - also status quo ante sozusagen. Allerdings weiss ich nicht, ob sich noch irgendwo was verbirgt. Ich werde das mal beobachten und gegebenenfalls neue Erkenntnisse posten.

Ich beschäftige mich nun schon seit langer Zeit mit Computern, aber angesichts dieser Probleme kommt man sich immer wieder vor wie ein blutiger Laie...

Gruss echtmolli

 

[Andy4]

Lad dir mal Hijackthis runter und häng die Log-File bitte hier an. Download: Siehe Signatur.

Gruß Andy

 

[echtmolli]

Ich nehme mal an, Du meinst dies:

Logfile of HijackThis v1.99.1
Scan saved at 22:43:55, on 24.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\CTHELPER.EXE
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\studnet\studnet.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Andreas\LOKALE~1\Temp\Rar$EX00.344\HijackThis.exe
C:\DOKUME~1\Andreas\LOKALE~1\Temp\Rar$EX00.984\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Nothing - {edbf1bc8-39ab-48eb-a0a9-c75078eb7c8e} - C:\WINDOWS\system32\hp3B1F.tmp (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{3AA33D18-9778-40F0-A35F-66F284D963C8}: NameServer = 139.18.25.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{3AA33D18-9778-40F0-A35F-66F284D963C8}: NameServer = 139.18.25.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{3AA33D18-9778-40F0-A35F-66F284D963C8}: NameServer = 139.18.25.3
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: winbfi32 - C:\WINDOWS\SYSTEM32\winbfi32.dll
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe

 

[phara0h]

Guck dir hier mal die Auswertung an... sieht nicht gut aus....
Am besten mit HijackThis die betreffenden Einträge fixen und noch mal drüberlaufen lassen...
Wenn dann immer noch etwas gefunden wird hilft wohl nurnoch ein format c: ...

 

[Andy4]

Jo, das schaut mal wirklich nicht gut aus

• R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com
• R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
• R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
• R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com
• R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com

• O2 - BHO: Nothing - {edbf1bc8-39ab-48eb-a0a9-c75078eb7c8e} -
• C:\WINDOWS\system32\hp3B1F.tmp (file missing)
• O20 - Winlogon Notify: winbfi32 - C:\WINDOWS\SYSTEM32\winbfi32.dll

Bis hier hin erst mal alles weg.
Die Name-Server sind ja wegen der Uni, stimmts

Gruß Andy

 

[echtmolli]

Nochmal vielen Dank für den klasse support hier.
Ich habe mal das aktuelle logfile reinkopiert - die prosearching files etc. konnte Hijack eigentlich sofort removen (und die name-Dateien sind Uni-IP´s ;-)

@phara0h: wie kann man diese übersichtliche Auswertungen durchführen?

Logfile of HijackThis v1.99.1
Scan saved at 10:59:59, on 25.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\CTHELPER.EXE
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\Programme\Microsoft Hardware\Keyboard\type32.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\ewido anti-malware\ewidoctrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
C:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Andreas\Desktop\USF\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [IntelliType] "C:\Programme\Microsoft Hardware\Keyboard\type32.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{3AA33D18-9778-40F0-A35F-66F284D963C8}: NameServer = 139.18.25.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{3AA33D18-9778-40F0-A35F-66F284D963C8}: NameServer = 139.18.25.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{3AA33D18-9778-40F0-A35F-66F284D963C8}: NameServer = 139.18.25.3
O20 - Winlogon Notify: winbfi32 - C:\WINDOWS\SYSTEM32\winbfi32.dll
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos plc - C:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos plc - C:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos plc - C:\Programme\Sophos\AutoUpdate\ALsvc.exe


Gruss echtmolli

 

[phara0h]

Wenn du dir die URL oben im Link angesehen hättest, dann wärst du selber sehr schnell auf www.hijackthis.de gekommen...
(Ich muss allerdings zugeben, dass ich den Link auch noch mal zusätzlich hätte drunter schreiben können..)
Ich wümsche dir, dass dein System jetzt wieder sauber ist

 

[Andy4]

Die Winbfi.dll ist immer noch vorhanden:Wird wohl etwas mühselig, die weg zu bekommen. Ich hoffe, du bist mit Englisch etwas vertraut. Das wird schon: Winbfi.dll help *klick.


Gruß Andy

 

[Brigitta]

Ja, aber den IE schließen beim Fixen, am Besten im abgesicherten Modus, sonst wird das nix.

 

[Maik1]

Ich hab das selbe Problem, aber ich sehe in diesem Thread nich so richtig durch. Kann mir jemand noch mal bitte erklären was genau ich machen soll um denn Virus oder was es ist zu entfernen?

Ach und bei mir ist in der Schnellstartleiste, Programmliste,... auch überall das Prog. SpyFalcon 3.1 drinne. Hängt das auch mit dem Virus zusammen?

 

[gac.addy]

@maik1
erstma virenscanner durchlaufen lassen. zB einen von denen hier https://www.computerbase.de/downloads/sicherheit/antimalware/
dann adaware http://www.chip.de/downloads/c1_downloads_13000824.html
kannst auch noch ein paar von den programmen probieren die echtmolli angegeben hat.
den ganzen spaß auch mal im abgesicherten Modus
danach unter http://www.hijackthis.de/ hijackthis runterladen. Durchlaufen lassen (im abgesicherten modus) logfile auswerten lassen, und machen was da steht.

wenn dir das zu viel arbeit ist:
Daten sichern und Windows neu drauf klatschen, geht imho meistens sogar schneller

https://www.computerbase.de/forum/t...q-haeufig-gestellte-fragen.69370/#post-767727 hier gibts auch ne prima FAQ von Computerbase zu dem Spaß

 

[Maik1]

und machen was da steht.

Was wo steht bzw. wann soll was erscheinen?

 

[Spielkind]

HiJackThis besteht a) aus einem Log-File und b) aus der Analyse des Logfiles. Das Logfile erzeugst Du mit dem Programm HiJackThis. >Klick mich< für eine bebilderte Anleitung. Das erzeugte Logfile kannst Du dann >hier< analysieren lassen. Falls du dir mit der Auswertung nicht sicher bist, kannst du das Log hier auch als Txt- datei an einen Post anhängen.

Löschaktionen immer im abgesicherten Modus und bei deaktivierter Systemwiederherstellung >Klick mich<. Solltest Du eine schadhafte Datei nicht löschen können, gelingt Dir dies evt. mit dem Programm Killbox >Klick mich<.

 

[Maik1]

Also ich hab mal Kaspersky durchlaufen lasssen und da wurden ich glaube die ganzen Vieren gelöscht. Allerdings lässt sich die Startseite vom IE nicht mehr verstellen. Hat jemd ne Ahnung wie mans doch schafft?