Virus eingefangen

[stratos91]

Hi zusammen

Ich glaub ich hab mir einen Virus eingefangen. Bin nun am Ende mit meinem Latein. Habe ein Logfile gemacht mit hijack. Es wäre nett wenn sich das jemand mal anschauen würde. Ich danke euch schon im voraus.

Logfile of HijackThis v1.99.1
Scan saved at 08:43:32, on 30.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\pavsrv51.exe
C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\AVENGINE.EXE
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\TPSrv.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\common files\logishrd\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
C:\Program Files\ASUS\AI Booster\OverClk.exe
C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program Files\Microsoft Xbox 360 Accessories\XboxStat.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\TrojanHunter 4.6\THGuard.exe
C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\APVXDWIN.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\PsCtrls.exe
C:\Documents and Settings\All Users\Application Data\wfmlibal.exe
C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\PavFnSvr.exe
C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
C:\WINDOWS\system32\scchk32.exe
c:\program files\panda software\panda antivirus + firewall 2007\firewall\PSHOST.EXE
C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\PsImSvc.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Opera\Opera.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\WebProxy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\psimreal.exe
C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\avciman.exe
C:\Documents and Settings\Marco\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program Files\TechSmith\SnagIt 7\SnagItIEAddin.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program Files\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program Files\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] "C:\Program Files\Common Files\Logitech\khalshared\KHALMNPR.EXE"
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Launch Ai Booster] "C:\Program Files\ASUS\AI Booster\OverClk.exe"
O4 - HKLM\..\Run: [AsusStartupHelp] C:\Program Files\ASUS\AASP\1.00.14\AsRunHelp.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [XboxStat] "C:\Program Files\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [THGuard] "C:\Program Files\TrojanHunter 4.6\THGuard.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu2000352.exe 61A847B5BBF72810329B385577FB01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310
O4 - HKLM\..\Run: [wfmlibal.exe] C:\Documents and Settings\All Users\Application Data\wfmlibal.exe
O4 - HKLM\..\Run: [SC2] C:\WINDOWS\system32\scchk32.exe
O4 - HKLM\..\Run: [icq.com] rundll32.exe "C:\WINDOWS\system32\jmqjulmd.dll",forkonce
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: ERUNT AutoBackup.lnk = C:\Program Files\ERUNT\AUTOBACK.EXE
O4 - Startup: Registration Ghost Recon Advanced Warfighter.LNK = C:\Program Files\Ubisoft\Ghost Recon Advanced Warfighter\Support\Register\RegistrationReminder.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program Files\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - c:\program files\common files\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Panda Software Controller - Panda Software International - C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\PsCtrls.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software International - C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\pavsrv51.exe
O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\program files\panda software\panda antivirus + firewall 2007\firewall\PSHOST.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\PsImSvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program Files\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Program Files\Panda Software\Panda Antivirus + Firewall 2007\TPSrv.exe

 

[markus1234]

Bei Virustotal und Jotti online scannen:

C:\Documents and Settings\All Users\Application Data\wfmlibal.exe
C:\WINDOWS\system32\scchk32.exe
C:\WINDOWS\retadpu2000352.exe
C:\WINDOWS\system32\jmqjulmd.dll

Und mach einen Screenshot von en Scanresultaten, poste diese hier.

mfg,
Markus

 

[stratos91]

Die 3 Dateien die im Windows Ordner sind hab ich bei virustotal schon gescannt und danach gelöscht. Die wfmlibal.exe finde ich nirgends auf meinem pc.

Edit: Also ich meine ich finde den Ordner Application Data nicht.

 

[SOS.Boy]

Versuch es mal mit einem anderem Virenscanner, denn so wie ich es sehe benutzt du Panda? Panda war im Vergleich sooo schelcht das es nicht mal im Vergleich zu anderen Virenscannern angezeigt wird...

 

[Boogeyman]

Edit: Also ich meine ich finde den Ordner Application Data nicht.

Dateinamenerweiterung bei bekannten Dateitypen wieder einblenden:

Windows Explorer (Win Taste +E) -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Erweiterungen bei bekannten Dateitypen ausblenden" -> "OK"

Geschützte Systemdateien ausblenden:

Windows Explorer (Win Taste +E) -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"

Panda war im Vergleich sooo schelcht das es nicht mal im Vergleich zu anderen Virenscannern angezeigt wird...

Quatsch so schlecht ist Panda nicht, den Virenscanner der alles findest gibt es nicht !

Online Scanner:
(F-secrue, Bitdefender und Trend Micro können Malware auch löschen)


Kaspersky Online-Scanner
http://www.kaspersky.com/de/virusscanner

F-Secure
http://support.f-secure.de/ger/home/ols.shtml

Bitdefender:
http://www.bitdefender.de/scan_de/scan8/ie.html
Bei Bitdefender auf "andere Einstellung um zu ändern "klicken Sie hier" die Option, Benutzer Abfragen wählen (Prompt user for action), da sonst ohne Rücksicht gelöscht wird, auch Sachen die man ev. gar nicht will
Bitdefender gibt ev. eine Virenmeldung in einen Temp. Verzeichniss aus, die von einer vorherigen Scannung mit escan stammt, Fehlalarm.(mexe.com und mwavscan.com)
Trend Micro
http://de.trendmicro-europe.com/consumer/housecall/housecall_launch.php


Aktiven Virenscanner für die Zeit des Online Scanns deaktivieren.
Jeden Online Scanner einzel starten, nicht mehrere Online Scans parallel laufen lassen.
Für die meisten Online Scanns muss der Internet Explorer verwendet werden.



Auch noch nach Rootkits scannen lassen:
https://www.computerbase.de/downloads/sicherheit/antimalware/avg-antivirus-free/

Wenn ein Scanner angeblich einen Virus findet, nicht gleich hektisch die Datei löschen, Fehlalarme erzeugt jeder Virenscanner.
Sondern die angeblich befallene Datei hier hoch laden und überprüfen lassen. Es kann sonst nämlich sein, das du ev. eine wichtige Datei eines Programmes oder vom Betriebssystem selbst beschädigst.

http://virusscan.jotti.org/de/
http://www.virustotal.com/vt/

Wenn ein Virus vorhanden sein sollte, ist es zu empfehlen vor dem Scan die Systemwiederherstellung zu deaktivieren !

Wenn ein Computer mit einem Virus, Wurm oder Trojanischen Pferd infiziert ist, wurde die infizierte Datei möglicherweise in die Sicherung mit einbezogen. Nachdem ein Virenscanner den Rechner gesäubert hat, und dieser neu gestartet wurde, kopiert die Systemwiederherstellung von Windows die infizierte Datei wieder zurück in das eben gesäuberte System, da es die Änderung durch den Virenscanner entdeckt und diesen "Fehler" ausgleichen will.

http://www.bsi.bund.de/av/texte/wiederher_xp.htm

Nach erfolgreicher Viren Entfernung, nicht vergessen die Systemwiederherstellung für das Systemlaufwerk (Partition auf der das Betriebssystem installiert ist) wieder an zu machen.

 

[markus1234]

Formatiere. Hat alles keinen Sinn, da Backdoorinfektion. Spätestens in einigen Tagen hast du dasselbe Problem wieder - und wieder - und wieder ...

mfg,
Markus

 

[stratos91]

Danke für die Hilfe erstmal.
Ich werde den PC heute neu formatieren, da ich es mit verschiedenen Virenscannern versucht habe, aber die Dinger kommen immer wieder. Spätestens 2 Stunden nach dem säubern findet der Panda schon wieder Viren.
Trotzdem danke für die Hilfe

 

[markus1234]

Kleine Ergänzung zum besseren Verständnis:

Das was du meinst liegt evtl. an der Systemwiederherstellung.
Jedoch verändern diese Biester den System auf eine nicht-nachvollziehbare Art und Weise. Insofern ist dein System kompromittiert und nicht mehr sicher. Antivirensoftware bringt nichts, da sich die Biester auch selbst updaten, teilweise mehrfach die Stunde.

mfg,
Markus

 

[Dirty_Harry]

Ist das "Meine heißen Fotos" ? über MSN?

dann mach mal das: http://www.hitmanpro.nl/hitmanpro/index.php?option=com_content&task=view&id=3&Itemid=9