Nerymon

Mein AntiVir hat so eben gemeldet, dass sich auf meinem PC ein Virus oder ein unerwünschtes Programm befinden würde. Habe das dann in Quarantäne verschoben.

Objekttyp: Datei
Restauriert: Nein
Gesendet: Nein
Meldung: DR/OneStep.C.29
Datum/Uhrzeit: 17.01.2008, 18:12
Engine: 7.06.00.48
VDF: 7.00.02.06
Quelle: D:\180247.exe

Kennt diese Datei vllt. Jemand und/oder hatte sie selbst schon?
Handelt es sich dabei wirklich um einen gefährlichen Virus oder Trojaner?
Möchte die Datei jetzt nicht löschen, solange ich nichts genaueres darüber weiß...

Wie soll ich jetzt am besten weiter vorgehen, um möglichen Schaden zu vermeiden?

ReinMan

Poste uns mal ein Hijackthislogfile ins Forum. Do a system scan save a Logfile das LF postest du hier rein.

http://www.chip.de/downloads/c1_downloads_13011934.html

Scann dann noch mit Spybot Adaware und Ewido sicherheitshalber. Mach einen "komplett-System-Scan" und einen "Registry-Scan" sowie "Speicher-Scan" mit Ewido. Findet Ewido etwas dann lösch es.

http://www.chip.de/downloads/c1_downloads_13000824.html

http://www.chip.de/downloads/c1_downloads_13001443.html

http://www.chip.de/downloads/c1_downloads_13011934.html

Nerymon

Ok...hier is mal die Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 19:12:23, on 17.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Java\jre1.6.0_01\bin\jucheck.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Dokumente und Einstellungen\Admin\Desktop\hijackthis\HijackThis. exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe "
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [Ashampoo AntiSpyWare Guard] C:\Programme\Ashampoo\Ashampoo AntiSpyWare\AntiSpyWareGuard.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [StartCCC] C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/...an_unicode.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

ReinMan

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

Die markierst du und gehst auf "Fixx check". Ansonsten ist dein Logfile sauber. Entweder wurden die Dateien bereits deinstalliert oder verschoben.

Hast du schon mit Spybot und Adaware sowie Ewido gescannt und hat sich nochmal was ergeben ?

Ostseesand

Hi,

hast du die letzte zeit mal mit xp-themes rumgespielt, bzw was installiert davon?

Nerymon

Nein...ich habe zwar 1 oder 2 XP-Themes gedownloadet, aber noch nichts installiert.

Lasse gerade die Scans laufen.
Vorher hat AntiVir erneut angeschlagen mit der Meldung einen Virus oder ein unerwünschtes Programm gefunden zu haben.
Diesmal allerdings eine andere Datei, aber wieder .exe...

Die obere, blau unterlegte Datei ist es.
Darunter sieht man ebenfalls noch die 180247.exe und eine weitere Datei, die ich kürzlich in Quarantäne verschoben habe, als AntiVir schonmal angeschlagen hatte.

(Klicken für volle Größe)

Wobei kann es es sich da nun wieder handeln?
Hab Angst das jetzt dauernd neue Dateien nachkommen, da AntiVir atm ja scheinbar dauernd was zu meckern hat....

ReinMan

Wie gesagt wenn Spybot,Adaware und Ewido ihren Dienst getan haben dann sag uns bescheid ob sich das Problem gelöst hat oder nicht.

Wird die Datei automatisch gestartet beim Windowsstart ?

Nerymon

SpyBot hat 2 Probleme gefunden und behoben:

1) Microsoft.Windows.Security.InternetExplorer
2) Tradedoubler

Sonst nichts auffälliges.
Können die Dateien eigentlich am System noch Schaden anrichten, wenn sie in Quarantäne sind? Soll ich die jetzt einfach da drin lassen?

Weiß ich gar nicht...hab vergessen, wo man das ersehen kann...x.x

Ostseesand

Hi,

hast du den link per icq bekommen um ein xp themes zu installieren?
wo hast du das runtergeladen.

ich frage gezielt danach, weil genau dein problem bei infizierten themes immer wieder auftreten.

installier ccleaner und klicke alles an was geht. dann reinige dein system.
starte den pc im abgesicherten modus. führe dort einen virenscan mit deinem AntiVir PersonalEdition aus.
wird was gefunden, dann versuch es zu löschen.
wenn das nicht klappt, dann lade dir kaspersky herunter und versuch es damit.

Nerymon

Nein, habe sie nicht per ICQ bekommen.
Habe bewusst danach gegooglet damals und dann 1 oder 2 Themes von einer XP-Skins-Page gedownloadet. Habe allerdings den genauen Link nicht in Erinnerung.

Bekam aber vor einigen Tagen täglich immer mehrere Anschriften per msn auf englisch, in dem jedesmal ein zip-Ordner angehängt wurde, indem sich angeblich Fotos befinden sollten...vermutlich auch irgendein gesteuerter msn-Virus oder Trojaner, der diese Ordner verbreitet hat, habe aber nie einen der Ordner angenommen.

Ansonsten hab ich in letzter Zeit eigentlich auch nichts runtergeladen und auch sonst heute nix auffälliges gemacht, als das erste mal eine Viren-Meldung kam...hat schlichtweg vorhin ein paar Songs auf meinen mp3-Player geladen und dann etwas in msn gechattet, dann kamen die Meldungen.