Hilfe... unbekannter Virus

ANtiviren und andere Programm updaten. Dann alle im abgesicherten Scannen lasse. Installiere dir ebenfalls "Unlocker" und versuche die Dateien dann händisch zu löschen und in der Registry müsstest du dann ebenfalls nach den BEgriffen suchen und diese löschen. Allerdings ist eine Neuinstallation (mit FOrmatierung der kompletten Festplatte)nach Virenbefall der beste Weg.

Hijackthis und alle anderen Programme mit deaktivierter Systemwiederherstellung laufen lassen.

Hallo,

hinter dieser Datei steckt mit hoher Wahrscheinlichkeit Spyware!
C:\WINDOWS\SYSTEM32\dminrch.dll
Meldet Norton den genauen Namen der Malwareinfektion?

Zur Kontrolle sollte erst einmal eine Überprüfung mit den beiden kostenlosen Online-Scanner vorgenommen werden.
Panda ActiveScan
http://www.pandasoftware.com/activescan/de/activescan_principal.htm
(Findet zwar auch Spyware und Adware, kann diese aber nicht bereinigen.
Eventuellen Meldungen von Panda unter “Spyware:Cookie“ sind harmlos und stellen keine akute Gefahr dar.)
BitDefender Online Scanner
http://www.bitdefender.de/bd/site/page.php#

Poste bitte die Scan-Protokolle hier.

Benütze vorsorglich auch mal das Removaltool gegen Smitfraud und Co., in englischer Sprache.
Eine kurze Anleitung in Deutsch ist auf der Homepage vorhanden und sollte unbedingt genau befolgt werden.
http://siri.urz.free.fr/Fix/SmitfraudFix_De.php

@ Help

Nein, der angegebene Pfad ist der Name, den Norton nennt.

Hier die Scan Protokolle:

Panda ActiveSan (ohne die Cookie Meldungen)

Adware:Adware/MediaTickets  Nicht desinfiziert           
C:\Dokumente und Einstellungen\NoraH\Lokale Einstellungen\Temp\ICD3.tmp\MediaTicketsInstaller.INF                                                                                                                                                               
Adware:Adware/MediaTickets  Nicht desinfiziert           
C:\Dokumente und Einstellungen\NoraH\Lokale Einstellungen\Temp\ICD3.tmp\MediaTicketsInstaller.ocx 


BitDefender

BitDefender Online Scanner - Echtzeit-VirenmeldungBitDefender Online
      Scanner - Echtzeit-Virenmeldung 
      Erstellt am: Wed, Jul 19, 2006 - 14:39:34


Ergebnisse
Erkannte Viren
7
Infizierte Dateien
10
verdächtige Dateien
2
Warnungen
0
Desinfiziert
0
Gelöscht
12

Geprüfte Dateien
 Status

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\0AFC0002.VBN=>REMOVED_NULLS
Infiziert: Exploit.Win32.WMF-PFV.C

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\0AFC0002.VBN=>REMOVED_NULLS
Desinfektion fehlgeschlagen

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\0AFC0002.VBN=>REMOVED_NULLS
Gelöscht

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\0AFC0002.VBN
Aktualisieren fehlgeschlagen

C:\Dokumente und Einstellungen\NoraH\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\mailbox.pst=>[Subject: eBay Rechnung][From: eBay AG]=>Ebay-Rechnung.pdf.zip=>Ebay-Rechnung.pdf.exe
Infiziert: Trojan.Downloader.Agent.Q

C:\Dokumente und Einstellungen\NoraH\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\mailbox.pst=>[Subject: eBay Rechnung][From: eBay AG]=>Ebay-Rechnung.pdf.zip=>Ebay-Rechnung.pdf.exe
Desinfektion fehlgeschlagen

C:\Dokumente und Einstellungen\NoraH\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\mailbox.pst=>[Subject: eBay Rechnung][From: eBay AG]=>Ebay-Rechnung.pdf.zip=>Ebay-Rechnung.pdf.exe
Gelöscht

C:\Dokumente und Einstellungen\NoraH\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\mailbox.pst=>[Subject: eBay Rechnung][From: eBay AG]=>Ebay-Rechnung.pdf.zip
Aktualisiert

C:\Dokumente und Einstellungen\NoraH\Lokale Einstellungen\Anwendungsdaten\Microsoft\Outlook\mailbox.pst
Aktualisiert

C:\Dokumente und Einstellungen\NoraH\Lokale Einstellungen\Temp\ICD3.tmp\MediaTicketsInstaller.ocx
Infiziert: Trojan.Dropper.Purityscan.AE

C:\Dokumente und Einstellungen\NoraH\Lokale Einstellungen\Temp\ICD3.tmp\MediaTicketsInstaller.ocx
Desinfektion fehlgeschlagen

C:\Dokumente und Einstellungen\NoraH\Lokale Einstellungen\Temp\ICD3.tmp\MediaTicketsInstaller.ocx
Gelöscht

C:\Dokumente und Einstellungen\NoraH\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01OEH6MN\CA6543OR.HTM
Verdächtig: Exploit.Html.MhtRedir.Gen

C:\Dokumente und Einstellungen\NoraH\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01OEH6MN\CA6543OR.HTM
Desinfektion fehlgeschlagen

C:\Dokumente und Einstellungen\NoraH\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01OEH6MN\CA6543OR.HTM
Gelöscht

C:\Dokumente und Einstellungen\NoraH\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GMQMN74Q\CAKTY7G5.HTM
Verdächtig: Exploit.Html.MhtRedir.Gen

C:\Dokumente und Einstellungen\NoraH\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GMQMN74Q\CAKTY7G5.HTM
Desinfektion fehlgeschlagen

C:\Dokumente und Einstellungen\NoraH\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GMQMN74Q\CAKTY7G5.HTM
Gelöscht

C:\System Volume Information\_restore{45C7E6ED-643C-4A40-B08C-4DC6F8359819}\RP622\A0295054.exe
Infiziert: Trojan.Downloader.Qoologic.BC

C:\System Volume Information\_restore{45C7E6ED-643C-4A40-B08C-4DC6F8359819}\RP622\A0295054.exe
Desinfektion fehlgeschlagen

C:\System Volume Information\_restore{45C7E6ED-643C-4A40-B08C-4DC6F8359819}\RP622\A0295054.exe
Gelöscht

C:\System Volume Information\_restore{45C7E6ED-643C-4A40-B08C-4DC6F8359819}\RP622\A0296061.exe
Infiziert: Trojan.Downloader.Qoologic.BC

C:\System Volume Information\_restore{45C7E6ED-643C-4A40-B08C-4DC6F8359819}\RP622\A0296061.exe
Desinfektion fehlgeschlagen

C:\System Volume Information\_restore{45C7E6ED-643C-4A40-B08C-4DC6F8359819}\RP622\A0296061.exe
Gelöscht

C:\System Volume Information\_restore{45C7E6ED-643C-4A40-B08C-4DC6F8359819}\RP622\A0296062.dll
Infiziert: Trojan.Downloader.Qoologic.BC

C:\System Volume Information\_restore{45C7E6ED-643C-4A40-B08C-4DC6F8359819}\RP622\A0296062.dll
Desinfektion fehlgeschlagen

C:\System Volume Information\_restore{45C7E6ED-643C-4A40-B08C-4DC6F8359819}\RP622\A0296062.dll
Gelöscht

C:\WINDOWS\hosts
Infiziert: Trojan.Qhosts.HE

C:\WINDOWS\hosts
Gelöscht

C:\WINDOWS\system32\bkvny.dat
Infiziert: Trojan.Downloader.Qoologic.BJ

C:\WINDOWS\system32\bkvny.dat
Desinfektion fehlgeschlagen

C:\WINDOWS\system32\bkvny.dat
Gelöscht

C:\WINDOWS\system32\dmonwv.dll_tobedeleted
Infiziert: Trojan.Downloader.Qoologic.BC

C:\WINDOWS\system32\dmonwv.dll_tobedeleted
Desinfektion fehlgeschlagen

C:\WINDOWS\system32\dmonwv.dll_tobedeleted
Gelöscht

C:\WINDOWS\t2.exe
Infiziert: Trojan.Spywad.AI

C:\WINDOWS\t2.exe
Desinfektion fehlgeschlagen

C:\WINDOWS\t2.exe
Gelöscht

         
      Prüf-Info 
            Geprüfte Dateien378122
            Infizierte Dateien12
       
         
      Erkannte Viren 
            Trojan.Dropper.Purityscan.AE1
            Exploit.Html.MhtRedir.Gen2
            Trojan.Downloader.Qoologic.BJ1
            Trojan.Qhosts.HE1
            Trojan.Spywad.AI1
            Trojan.Downloader.Agent.Q1
            Exploit.Win32.WMF-PFV.C1
            Trojan.Downloader.Qoologic.BC4
                                                                                                                                                             
Smitfraud habe ich benutzt, leider wurde dadurch mein Problem nicht behoben (nur ein kleineres, was schon seit ner Weile vorhanden ist --> ein erster Erfolg ).

Ich hoffe du kannst mir helfen.

Norah

Hallo Norah,

irgend etwas ist auf deinen PC nicht in Ordnung!
Warum wurden noch so viele Vireninfektionen durch Bitdefender gefunden die Norton bis jetzt nie entdeckt hat?
Ist dein Windows up to Date?
Aufgrund der entdeckten Malware Infektionen ist dies wohl unwahrscheinlich.
Kontrolliere über die Updatefunktion ob alle Sicherheitspatches eingespielt sind!
Ist Norton aktuell? Bitte auch prüfen.

Weiter lösche bitte deinen Browser Cache und alle sonstigen Temporären Dateien,
ebenso den Papierkorb. Benutze dazu einfach die Freeware CCleaner,
http://www.ccleaner.com/ccdownload.asp
setze bei den Einstellungen unter dem Reiter von Windows und Anwendungen alle möglichen Häckchen und führe CCleaner aus.

Checke die Datei
C:\WINDOWS\SYSTEM32\dminrch.dll
über den Online-Dateiscanner von
http://virusscan.jotti.org/de/
und poste das Ergebnis.

Lade dir die kostenlose Software von Ewido herunter.
ewido anti-malware, ca. 7,6 MB, Entwickelt für Windows 2000 und XP
http://www.ewido.net/de/download/
Bei der Installation bitte nicht den Hintergrundwächter aktivieren.
Nach der Installation der Software ist unbedingt noch das Update einzuspielen !
(Eventuellen Meldungen beim Scan von Ewido unter “TrackingCookie“ sind harmlos und stellen keine akute Gefahr dar.)
Um eine optimale Überprüfung mit dem Tool zu gewährleisten, sollte der PC ausschließlich mit der folgenden Anweisung gescannt werden.
1. PC vom Netzwerk und Internet trennen
2. Die Systemwiederherstellung deaktivieren  (Nur Windows XP und ME)
3. PC im abgesicherten Modus starten
(Für den Punkt 2 und 3 findet man unter http://www.bsi.de/av/texte/wiederher.htm
eine Anleitung)
4. Die Wächter von Norton und Spybot abschalten !
5. Die Antimalware-Software starten und eine komplette Überprüfung des Systems vornehmen. Bei einer erkannten Infektion sollte den Anweisungen der Software gefolgt werden.
6. PC wieder normal Starten und die Systemwiederherstellung aktivieren

Bei Rückfragen bitte immer die Scan-Protokolle hier posten.
Zum Schluss erstelle ein neues HijackThis-Log und poste den vollständigen Logfile hier.

Hallo,
für diese Meldung :
 

:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Symantec\Norton AntiVirus Corporate Edition\7.5\Quarantine\0AFC0002.VBN=>REMOVED_NULLS
Infiziert: Exploit.Win32.WMF-PFV.C

Wow, ich glaub ich bin mein Problem los... Ewido hat das Ding gekillt
Das Hauptproblem hat es als ConHook entlarvt und naja, noch einiges mehr...
Bin etwas schockiert über Norton, der war aktuell aber hat sich als nicht sehr verlässlich herausgestellt. Nun ja, jetzt funktioniert ein Glück wieder alles und es kommen keine nervigen Meldungen mehr.
Zur Sicherheit poste ich nochmal das aktuelle Hijack Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 00:00:42, on 21.07.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\NavNT\defwatch.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\Programme\NavNT\rtvscan.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\MsgSys.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\COMPAQ\Easy Access Button Support\StartEAK.exe
C:\Programme\NavNT\vptray.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Compaq\Easy Access Button Support\CPQEAKSYSTEMTRAY.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\Programme\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\Compaq\EAKDRV\EAUSBKBD.EXE
C:\PROGRA~1\Compaq\EASYAC~1\BttnServ.exe
C:\Programme\ewido anti-spyware 4.0\ewido.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\FinePixViewer\QuickDCF.exe
C:\Programme\Wireless\IEEE802.11g WLAN USB Adapter\OdHost.exe
C:\Programme\Wireless\IEEE802.11g WLAN USB Adapter\WLUSBCfg.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Downloads\HijackThis.exe
C:\WINDOWS\system32\NOTEPAD.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - C:\PROGRA~1\FlashGet\jccatch.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN
O4 - HKLM\..\Run: [CPQEASYACC] C:\Programme\COMPAQ\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [vptray] C:\Programme\NavNT\vptray.exe
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [TigerMsn] C:\Programme\IMTiger\TigerMsn\TigerMsn.exe
O4 - HKLM\..\Run: [uekcmd] C:\WINDOWS\System32\vngkmf.exe reg_run
O4 - HKLM\..\Run: [!ewido] "C:\Programme\ewido anti-spyware 4.0\ewido.exe" /minimized
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [rbrdn] C:\WINDOWS\System32\vngkmf.exe reg_run
O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe
O4 - Global Startup: IEEE 802.11g USB Adapter Utility.lnk = ?
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1132249386562
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O20 - AppInit_DLLs: MsgPlusLoader.dll
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\System32\NavLogon.dll
O23 - Service: DefWatch - Symantec Corporation - C:\Programme\NavNT\defwatch.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\Programme\NavNT\rtvscan.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe


Ich hoffe ihr könnt nichts Bedrohliches mehr entdecken.
Auf jeden Fall jetzt schonmal ein riesiges DANKE für eure Hilfe!

Norah

Norah,

du bist noch nicht am Ziel, denn wie ich schon sagte,
dein Windows XP Betriebssystem ist nicht aktuell, es wurden nicht alle Sicherheitsupdates eingespielt.
Hier muss unbedingt gehandelt werden!
Nur mit SP2 und allen Patches ist Windows XP ausreichend vor Gefahren geschützt.

Bitte umgehend alle Windowsupdates einspielen, es gibt keine Ausrede weshalb man dies nicht machen sollte, sofern man einen DSL Anschluss hat. Ansonsten besorge die Updates über Freunde die einen DSL besitzen.
Updates Links für Windows XP:
Service Pack 2, ca. 265MB:
http://www.microsoft.com/downloads/details.aspx?FamilyID=049c9dbe-3b8e-4f30-8245-9e368d3cdb5a&displaylang=de
Sicherheitspatches nach SP2, ca. 76MB:
http://download.winboard.org/details.php?file=42

Checke auch diese Datei
C:\WINDOWS\System32\vngkmf.exe
noch über den Online-Dateiscanner von
http://virusscan.jotti.org/de/
Sollte dabei Malware entdeckt werden,
dann fixe auch diese Einträge mit dem Hijack-Tool:
O4 - HKLM\..\Run: [uekcmd] C:\WINDOWS\System32\vngkmf.exe reg_run
O4 - HKCU\..\Run: [rbrdn] C:\WINDOWS\System32\vngkmf.exe reg_run 

Ansonsten sieht der Log recht ordentlich aus.

Hallo Norah,
ich prophezeihe mal das du bald wieder da bist  
Da liegt noch einiges im Argen...
Sir Reklov