Forum
Tipps
News
Menu-Icon

Win XP: Logfile HijackThis: nupyvurm\zmjwbibs.exe ???

Hallo.

Habe gerade mal einen Scan mit Hijack gemacht und einen Eintrag gefunden, mit dem ich nichts anfangen kann.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nupyvurm\zmjwbibs.exe

Mit "nupyvurm" kann auch Google nichts anfangen. Dieser Ordner läßt sich auch nicht löschen.
Kann mir da bitte jemand weiterhelfen?

Gruß
Pausenaugust



Antworten zu Win XP: Logfile HijackThis: nupyvurm\zmjwbibs.exe ???:

Dann geh doch mal in den entsprechenden Ordner und such nach dir vertrauten Dingen. Ich persönlich glaube nicht, dass dieses Programm auf den PC gehört, allerdings scheint es auch nichts gefährliches zu sein (oder ist bisher nur nicht bekannt). Aber wenn du es nicht kennst, denk ich mal dass du es ohne Probleme löschen kannst.

Und mach auf jeden Fall mal nen umfassenden Virenscan. Kann nicht schaden und ist durchaus wichtig, wenn merkwürdige Programme mit merkwürdigen Namen in merkwürdigen Ordnern auftauchen...

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Also in diesem Ordner ist nichts was mir vertraut ist. Da ist nur diese exe., die mir auch nichts sagt.
Einen Virenscan im abgesicherten Modus habe ich schon gemacht. Da waren auch Einträge, Viren, aber diese Fehler sind behoben.
Der Ordner läßt sich nicht löschen, er ist schreibgeschützt. Auch wenn ich den Schreibschutz entferne, bleibt er.
 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Ich poste mal ein komplettes Logfile... Vielleicht fällt Euch ja was auf...Logfile of HijackThis v1.99.1
Scan saved at 20:49:48, on 28.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
d:\Programme\Alwil Software\Avast4\aswUpdSv.exe
d:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
d:\Programme\Alwil Software\Avast4\ashMaiSv.exe
d:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nupyvurm\zmjwbibs.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\RocketDock\RocketDock.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~1\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe"
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O11 - Options group: [TABS] Tabbed Browsing
O17 - HKLM\System\CCS\Services\Tcpip\..\{830011B8-FD2C-427C-B102-46E7E42643ED}: NameServer = 192.168.178.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{830011B8-FD2C-427C-B102-46E7E42643ED}: NameServer = 192.168.178.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{830011B8-FD2C-427C-B102-46E7E42643ED}: NameServer = 192.168.178.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll
O21 - SSODL: dwnrpofk - {7E0FEDCA-F5C8-41D8-9866-E4F5C0653A85} - C:\WINDOWS\dwnrpofk.dll
O21 - SSODL: zip - {46473a9f-0f4b-482a-b1c8-4cec9929ea0e} - C:\WINDOWS\Installer\{46473a9f-0f4b-482a-b1c8-4cec9929ea0e}\zip.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - d:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - d:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - d:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - d:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

 

..mir persöhnlich gefällt deine logfile ganz und gar nicht..deswegen würde ich dieses System formatieren und neu aufsetzen (ich weiß immer das selbe!, doch ist dies  nicht mein Verschulden)
..bin aber kein Experte auf dem Gebiet, also warte noch mal ab ob dir jemand anderst hier weiterhelfen kann..
solange nehm den Rechner bitte aus dem Netz.
 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Dafür,das Du kein Experte bist, hast Du aber schon echt viele Sterne...

Was genau gefällt Dir am meinem Logfile nicht?

Also ich glaub, ich fang mal von vorn an...
Vor ein paar Tagen ist mein Notebook abgestürzt, während ich am Googlen war. Das ging so schnell, das ich nicht mehr weiß, wo ich grad "rumgeklickt" hab. Jedenfalls ging das Ding aus und nicht wieder an, nur ein schwarzer Bildschirm mit "Windows konnte nicht gestartet werden, weil ... nicht gefunden wurde oder die Datei beschädigt ist". Also hab ich mir die Recovery-CD geschnappt und im Bios repariert. Klappte soweit auch alles ganz gut. Es ließ sich wieder starten. Hab dann im abgesicherten Modus einen Virenscan gemacht, wo auch ein Trojaner gefunden wurde. Das Biest hab ich dann entfernt, nochmal gescant, und dann war alles ok.
Aber...
Seit diesem Tag öffnet sich ständig und von ganz allein der IE mit seinem "SystemDefenderSecurityCenter". Voll nervig... Da kam ich dann auf die Idee mit dem Hijack...

Ansonsten läuft das Laptop o.Prob.

 

Das scheint der durchaus böse Smitfraud (installiert einträge, die dich dazu zwingen sollen, teure Antivirenprogramme zu kaufen uvm) zu sein... Denk ich mal... Such mal nach dem Programm "SmitfraudFix".
Bei Trojanern bleibt idR nur ne Neuinstallation bzw. ne Formatierung. Der verändert die Dateien und ist nicht mehr auffindbar.

An deinem Logfile fällt auf, dass viele der Einträge aus total sinnlos zusammengewürfelten Buchstaben zu bestehen scheinen. Normalerweise stehen das Abkürzungen für die dazu gehörenden Programme. Allerdings kann ich da jetzt auch keinen Schädling ausmachen, aber dafür gibts hier Experten, die aus nem Logfile lesen können wie ich aus nem Buch.

Edit: Aktualisier übrigens auch mal dein Windows. Es gibt ein Servicepack...

« Letzte Änderung: 28.03.08, 21:53:17 von wemaflo »

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Wo soll ich dieses Progamm denn suchen ? Auf dem Lap hab ich es nicht...

Und was meinst Du mit Windows aktualisieren? Hab doch schon   
SP2... ???

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

So, also das Prog. hab ich gefunden und geladen. Werde mich morgen damit befassen und mich nochmal melden, was daraus geworden ist.

Für heute erstmal vielen Dank für Hilfe und Tipps.

Freundliche Grüße
Pausenaugust

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Wemaflo was redest du da ???

Er hat Service Pack 2 drauf und bevor du sagst dass er Smitfraud drauf hat, google lieber!! Es ist nähmlich Zlob!!



Dieser Eintrag  ist bei google zwar nicht bekannt, aber ich würde auf einen ausgewachsenen backdoor Trojaner tippen!!!

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nupyvurm\zmjwbibs.exe

Öffne den Ordner Dokumente und Einstellungen, klicke dann oben Extras -> Ordneroptionen -> Ansicht -> Alle Dateien und Ordner Anzeigen

Dann ist der Ordner Anwendungsdaten sichtbar!

Geh auf diese Seite: http://virustotal.com und lade die Datei da hoch, poste dass Ergebnis hier.

Außerdem ist auf deinem Computer Zlob siehe diesen Eintrag:

O21 - SSODL: dwnrpofk - {7E0FEDCA-F5C8-41D8-9866-E4F5C0653A85} - C:\WINDOWS\dwnrpofk.dll

Der Eintrag hier ist mir auch unbekannt, lade die Datei auch auf http://virustotal.com hoch!

O21 - SSODL: zip - {46473a9f-0f4b-482a-b1c8-4cec9929ea0e} - C:\WINDOWS\Installer\{46473a9f-0f4b-482a-b1c8-4cec9929ea0e}\zip.dll


Aber ich denke dass du formatieren musst. 

« Letzte Änderung: 29.03.08, 12:52:55 von ersguterjunge »

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Hallihallo, bin wieder da.

Habe mir also SmitfraudFix geladen, laut Anleitung das Lap gescant und gecleant. Und siehe da, plötzlich ließ sich auch dieser Ordner nupyvurm ... löschen.
Das war also schonmal ein guter Tip, vielen Dank.

Nun zu Dir ,  ersguterjunge
Ich werde Deinen Rat jetzt befolgen und tun, was Du von mir verlangst  ;)

Also bis gleich...

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Smitfraudfix sollte einen Teil von Zlob entfernt haben, naja warten wir auf den rest.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Hab jetzt die Dateien gesucht , aber nicht gefunden, auch nicht über die Suchfunktion.
Poste statt dessen nochmal ein Logfile

Logfile of HijackThis v1.99.1
Scan saved at 14:24:19, on 29.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
d:\Programme\Alwil Software\Avast4\aswUpdSv.exe
d:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
d:\Programme\Alwil Software\Avast4\ashMaiSv.exe
d:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\RocketDock\RocketDock.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aol.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~1\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Programme\RocketDock\RocketDock.exe"
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O11 - Options group: [TABS] Tabbed Browsing
O17 - HKLM\System\CCS\Services\Tcpip\..\{830011B8-FD2C-427C-B102-46E7E42643ED}: NameServer = 192.168.178.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{830011B8-FD2C-427C-B102-46E7E42643ED}: NameServer = 192.168.178.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{830011B8-FD2C-427C-B102-46E7E42643ED}: NameServer = 192.168.178.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - d:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - d:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - d:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - d:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

Und nun ?

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Die Dateien kannst du ja auch nicht finden, weil sie Smitfraudfix gelöscht hat.

Naja Logfile sieht sauber aus!!

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

....denke ich mal auch. Kann auch sonst nix mehr finden, was mir seltsam erscheint.

Gesetzt den Fall, ich formatiere neu...
Meine Festplatte ist geteilt mit jeweils ca. 15GB in C.\ (fürs System) und D.\ (für sonst. Programme, Bilder, Mucke usw.) Das hat mir ein Bekannter vor einiger Zeit so eingerichtet. Nun will ich dem aber nicht schon wieder auf die Nerven gehen, sonders es selbst mal probieren.
Ich gehe mal davon aus, das ich C:\  erstmal komplett löschen sollte, und D:\ so belassen kann (und auch möchte)
Wie gehe ich dann vor?


« Mail delivery failed: returning message to senderTrojaner - Backdoor »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Scanner
Der Scanner, abgeleitet vom englischen Wort "to scan" für "abtasten", ist ein Gerät zur Digitalisierung von Bildern, Fotos und Dokumenten. M...

HiJackThis
Unter dem Begriff HiJackThis verbirgt sich ein  Sicherheitsprogramm, dass den Computer nach Schad-Programmen und Viren durchsucht. Dazu werden spezielle Bereiche in ...

Google
Google ist Marktführer unter den Suchmaschinen weltweit. Geführt von dem amerikanischen Unternehmen Google Inc. werden neben der Suchmaschine auch viele weitere...