Seit heute morgen Probleme evtl. wegen idownload.exe & howiper.exe

Hallo Leute,

ich bin neu im Forum und hab mir mal so alles zu dem o.g. Problem durchgelesen.

Ich hatte gestern ein Problem mit der DSL-Verbindung. Heute morgen hat die T-Com das Problem gefunden.

Es lag an einem Modem am Netzknoten oder so.

Während der Techniker die Reparatur durchgeführt hat, hatte ich den Rechner an. Auf einmal hat Antivir Alarm geschlagen (die im Betreff genannten Dateien wurden gefunden).

Zudem war mein Desktopbild verschwunden und der Bildschirm wechselte die Farbe und da stand kurzzeitig was von RazorWare oder so ähnlich. Nach einem Neustart war das weg, jedoch wechselt die Farbe des Bildschirmhintergrundes jetzt von weiß zu beige.

Hab schon gelesen, dass andere auch das Problem hatten. Es wäre gut, wenn sich das Problem lösen liesse, ohne dass ich alles plattmachen muss.

Ich habe mal einen Scan mit HJT gemacht:

http://www.hijackthis.de/logfiles/2c32b2050f31c5daa8e089f812adf3a5.html

Ich hab auch schon was gefixt, da ich in nem anderen Thread was über eine Umleitung auf ukrainische Server gelesen habe. Ähnliche Einträge hatte ich auch.

Ich hoffe, mir kann jemand weiterhelfen ...

Bedanke mich schon mal im Voraus.

Gruß Mike

 

Scan deinen PC mal ordentlich durch:

1. Anständiges Antivirenprogramm (z.B Kaspersky, Norton, Etrust, Bitdefender,.....)

2. http://www.chip.de/downloads/c1_downloads_13000824.html

3. http://www.chip.de/downloads/c1_downloads_13001443.html

4. http://www.scanforfree.com/xoftspy/

 

Danke schonmal für Deine Antwort.

Wird erledigt ...

Hier mal die 4 Logfiles von datfind.bat:

1.

16.06.2006 18:34 21.961 nvapps.xml
16.06.2006 13:42 2.206 wpa.dbl
16.06.2006 10:54 302.621 SetupCarnival.exe
16.06.2006 10:54 705 dgprpsetup.exe
16.06.2006 10:54 8.329 rzspy.exe
09.06.2006 13:03 57.384 avsda.dll
17.05.2006 11:23 579.888 LegitCheckControl.dll
27.04.2006 17:49 288.417 SrchSTS.exe
03.04.2006 11:40 14.048 spmsg.dll
27.03.2006 09:30 384.564 perfh007.dat
27.03.2006 09:30 379.022 perfh009.dat
27.03.2006 09:30 51.428 perfc009.dat
27.03.2006 09:30 61.216 perfc007.dat
27.03.2006 09:30 1.434 PerfStringBackup.TMP
14.03.2006 10:12 303.624 FNTCACHE.DAT

================================================

2.

16.06.2006 18:44 29.228 jusched.log
16.06.2006 18:31 16.384 ~DFD02B.tmp
16.06.2006 13:42 596 hpzcoi10.log
16.06.2006 13:42 596 hpzcoi09.log
16.06.2006 10:54 595.968 carnivalcasinoen.cab
16.06.2006 10:54 81.920 pts11.tmp
16.06.2006 10:54 86.016 pts10.tmp
14.06.2006 12:05 32.768 ~DFDF93.tmp
14.06.2006 12:04 32.768 ~DF7E5A.tmp
13.06.2006 11:14 32.768 ~DFFFAB.tmp
12.06.2006 12:28 49.152 ~DF1F73.tmp
09.06.2006 10:09 14.520 java_install_reg.log
08.06.2006 14:21 32.768 ~DFCF48.tmp
08.06.2006 12:26 3.088 h2r6.tmp
06.06.2006 14:19 717 control.xml
06.06.2006 10:58 32.768 ~DFB7FB.tmp
05.06.2006 08:48 32.768 ~DF4C18.tmp
04.06.2006 23:53 16.384 ~DFEC6.tmp
04.06.2006 21:44 32.768 ~DF1714.tmp
04.06.2006 09:41 0 EPSLog.txt
04.06.2006 09:11 32.768 ~DF75.tmp
03.06.2006 11:27 32.768 ~DFC371.tmp
31.05.2006 18:59 32.768 ~DF7B84.tmp
31.05.2006 15:27 49.152 ~DFC67E.tmp
28.05.2006 11:58 16.384 ~DF547B.tmp
28.05.2006 11:57 16.384 ~DF3443.tmp
28.05.2006 11:53 16.384 ~DF7FE1.tmp
28.05.2006 11:51 16.384 ~DFF2FB.tmp
28.05.2006 11:50 16.384 ~DFAD39.tmp
28.05.2006 11:48 16.384 ~DF3600.tmp
28.05.2006 11:48 16.384 ~DF2607.tmp
28.05.2006 11:48 16.384 ~DF1C74.tmp
26.05.2006 18:53 3.167 h2r18.tmp
26.05.2006 18:52 3.167 h2r13.tmp
26.05.2006 12:00 3.167 h2r22.tmp
26.05.2006 10:53 0 LaunchBrowser.html
24.05.2006 16:08 939 jupdate1.5.0.xml
22.05.2006 15:13 3.167 h2rC2.tmp
17.05.2006 14:30 2.048.000 Acr9.tmp
16.05.2006 15:32 25.088 27680.idx
16.05.2006 15:32 5.120 27680.dat
11.05.2006 10:23 3.167 h2rD.tmp
02.05.2006 11:37 25.088 32080.idx
02.05.2006 11:37 5.120 32080.dat

================================================

3.

16.06.2006 18:34 0 0.log
16.06.2006 18:34 525 ODBC.INI
16.06.2006 18:33 49 transp.gif
16.06.2006 18:33 1.350.267 WindowsUpdate.log
16.06.2006 18:33 50 wiaservc.log
16.06.2006 18:33 159 wiadebug.log
16.06.2006 18:32 2.048 bootstat.dat
16.06.2006 17:50 247.638 setupapi.log
16.06.2006 13:42 9.002 WGA.log
06.06.2006 14:19 363.788 wmsetup.log
04.06.2006 21:56 955 orun32.ini
26.04.2006 19:09 121 GEARInstall.log
16.04.2006 11:20 83.432 xpsp1hfm.log
16.04.2006 11:20 660 KB823980.log

================================================

4.

16.06.2006 19:31 0 sys.txt
16.06.2006 19:30 12.824 system.txt
16.06.2006 19:29 12.518 systemtemp.txt
16.06.2006 19:25 106.006 system32.txt
16.06.2006 19:19 1.251 rapport.txt
16.06.2006 18:32 804.839.424 hiberfil.sys
16.06.2006 18:32 402.653.184 pagefile.sys
16.06.2006 12:09 465 eBay.log
15.06.2006 12:42 5.207 TDSLCheck.txt
14.06.2006 10:53 529 hpfr5550.xml
14.06.2006 10:53 488.869 hpfr5550.log
23.04.2006 10:21 50 AUTOEXEC.BAT

 

Und auch noch die Rapport.txt von SmitFraudFix:




SmitFraudFix v2.61

Scan done at 19:19:09,56, 16.06.2006
Run from C:\Dokumente und Einstellungen\Mike\Desktop\SmitfraudFix\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Mike\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Mike\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="C:\\WINDOWS\\desktop.html"
"SubscribedURL"="C:\\WINDOWS\\desktop.html"
"FriendlyName"="Security"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

 

Und was war das?

Und wo? Mit welcher Meldung/Virenname?

 

Ich habe hier eine Seite gefunden, wo du selber überprüfen kannst, welches die häufigsten schädliche Prozesse sind:
http://www.neuber.com/taskmanager/deutsch/prozess/index.html

Des weiteren würde ich dir raten, dein Logfile mal den Profis zu überlassen. Ich glaube die haben da mehr Ahnung von:
http://board.protecus.de/

 

@jawo
Du fällst langsam unangenehm auf. Nur weil du keinen blassen Schimmer hast, musst du die Hilfesuchenden nicht in andere Foren locken.

 

Nagut. Wenn du der Meinugn bist, dass DU aus dem Logfile sinnvolle Rückschlüsse ziehen kannst.
Außerdem ist es keineswegs meine Absicht User in andere Foren zu "locken". Ich gehe einfach mal davon aus, dass sich die Entwickler von datfind.bat doch ein bisschen mehr mit ihrem Programm und dessen Ergebnissen auskennen.

 

Laß das mal nicht den Jasager lesen.

@mpepper: Bin zwar nicht der Profi, aber folgende Dateien kommen mir spanisch vor. Die solltest Du mal online prüfen:

16.06.2006 10:54 302.621 SetupCarnival.exe
16.06.2006 10:54 705 dgprpsetup.exe
16.06.2006 10:54 8.329 rzspy.exe
27.04.2006 17:49 288.417 SrchSTS.exe

Online Scans findest Du hier (etwa mittig).

 

Hallo,
poste mal ein Log von f-secure Blacklight, wird nach dem scan automatisch im selben Pfad erstellt, fsbl**.txt.
Und die Jungs (bzw. Mädels) von board-protecus sind zwar recht gut, haben aber eine begrenze Kapazität.

redest du von den O17 Einträgen? Hast du die schon gefixt?

Edit

die letzte Datei müsste in Ordnung sein, die gehört afaik zu Smitfraudfix, die anderen drei sind ziemlich sicher Teil der Infektion.


Grüße Jasager

 

Ja, genau das waren die 017 Einträge. Hab ich gefixt.

______________________________________________________

Das hier hat Kaspersky-Online gefunden:

Zu überprüfende Datei: rzspy.exe - Infiziert

rzspy.exe Infiziert: not-a-virus:AdWare.Win32.Raze.a


Statistiken:
Bekannte Viren: 201037 Updated: 16-06-2006
Größe der Datei (Kb): 9 Viren-Korpus: 1
Datei: 1 Warnungen: 0
Archive: 0 Verdächtigt: 0


Bei den anderen Dateien wurde nichts gefunden.
______________________________________________________


Hier das Log von F-Secure BL:

06/16/06 18:09:51 [Info]: BlackLight Engine 1.0.37 initialized
06/16/06 18:09:51 [Info]: OS: 5.1 build 2600 (Service Pack 2)
06/16/06 18:09:51 [Note]: 7019 4
06/16/06 18:09:51 [Note]: 7005 0
06/16/06 18:09:55 [Note]: 7006 0
06/16/06 18:09:55 [Note]: 7011 524
06/16/06 18:09:55 [Note]: 7026 0
06/16/06 18:09:55 [Note]: 7026 0
06/16/06 18:10:13 [Note]: FSRAW library version 1.7.1015
06/16/06 18:19:16 [Note]: 2000 1006
06/16/06 18:19:34 [Note]: 7007 0



Grüße Mike

 

Hallo,
überprüfe mal die Dateien(die ersten drei) hier und poste das jeweilige Ergebnis.


Grüße Jasager

 

Hier die erste ...


STATUS: FINISHEDComplete scanning result of "SetupCarnival.exe", received in VirusTotal at 06.16.2006, 21:10:56 (CET).

Antivirus Version Update Result
AntiVir 6.35.0.13 06.16.2006 no virus found
Authentium 4.93.8 06.16.2006 no virus found
Avast 4.7.844.0 06.15.2006 no virus found
AVG 386 06.16.2006 no virus found
BitDefender 7.2 06.16.2006 no virus found
CAT-QuickHeal 8.00 06.16.2006 no virus found
ClamAV devel-20060426 06.16.2006 no virus found
DrWeb 4.33 06.16.2006 Adware.Casino
eTrust-InoculateIT 23.72.40 06.16.2006 no virus found
eTrust-Vet 12.6.2259 06.16.2006 no virus found
Ewido 3.5 06.16.2006 Adware.Casino
Fortinet 2.77.0.0 06.16.2006 suspicious
F-Prot 3.16f 06.16.2006 no virus found
Ikarus 0.2.65.0 06.16.2006 no virus found
Kaspersky 4.0.2.24 06.16.2006 no virus found
McAfee 4786 06.16.2006 no virus found
Microsoft 1.1441 06.16.2006 no virus found
NOD32v2 1.1604 06.16.2006 no virus found
Norman 5.90.21 06.16.2006 no virus found
Panda 9.0.0.4 06.16.2006 no virus found
Sophos 4.06.0 06.16.2006 no virus found
Symantec 8.0 06.16.2006 no virus found
TheHacker 5.9.8.160 06.16.2006 no virus found
UNA 1.83 06.16.2006 no virus found
VBA32 3.11.0 06.16.2006 Adware.Casino
VirusBuster 4.3.7:9 06.16.2006 no virus found


Aditional Information
File size: 302621 bytes
MD5: ebbc0947c3ef12a53abfa0f9da918586
SHA1: 401dbb2a260b4356388ea3e04a7fdef54ce49221

 

Und die zweite ...


STATUS: FINISHEDComplete scanning result of "dgprpsetup.exe", received in VirusTotal at 06.16.2006, 21:24:49 (CET).

Antivirus Version Update Result
AntiVir 6.35.0.13 06.16.2006 no virus found
Authentium 4.93.8 06.16.2006 no virus found
Avast 4.7.844.0 06.15.2006 no virus found
AVG 386 06.16.2006 no virus found
BitDefender 7.2 06.16.2006 no virus found
CAT-QuickHeal 8.00 06.16.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 06.16.2006 no virus found
DrWeb 4.33 06.16.2006 no virus found
eTrust-InoculateIT 23.72.40 06.16.2006 no virus found
eTrust-Vet 12.6.2259 06.16.2006 no virus found
Ewido 3.5 06.16.2006 no virus found
Fortinet 2.77.0.0 06.16.2006 suspicious
F-Prot 3.16f 06.16.2006 no virus found
Ikarus 0.2.65.0 06.16.2006 no virus found
Kaspersky 4.0.2.24 06.16.2006 no virus found
McAfee 4786 06.16.2006 no virus found
Microsoft 1.1441 06.16.2006 no virus found
NOD32v2 1.1604 06.16.2006 no virus found
Norman 5.90.21 06.16.2006 no virus found
Panda 9.0.0.4 06.16.2006 Suspicious file
Sophos 4.06.0 06.16.2006 no virus found
Symantec 8.0 06.16.2006 no virus found
TheHacker 5.9.8.160 06.16.2006 no virus found
UNA 1.83 06.16.2006 no virus found
VBA32 3.11.0 06.16.2006 no virus found
VirusBuster 4.3.7:9 06.16.2006 no virus found


Aditional Information
File size: 705 bytes
MD5: bb807b39f9a26b4b75ccb697af7ca324
SHA1: 200ede3b1ce96c1ef6bccfb562c0d9759c05c07a

 

Und Nr. 3 ...


STATUS: FINISHEDComplete scanning result of "rzspy.exe", received in VirusTotal at 06.16.2006, 21:38:20 (CET).

Antivirus Version Update Result
AntiVir 6.35.0.13 06.16.2006 ADSPY/Raze.A.4
Authentium 4.93.8 06.16.2006 no virus found
Avast 4.7.844.0 06.15.2006 Win32:Trojan-gen. {Other}
AVG 386 06.16.2006 Adware Generic.LVC
BitDefender 7.2 06.16.2006 Trojan.Raze.D
CAT-QuickHeal 8.00 06.16.2006 AdWare.Raze.a (Not a Virus)
ClamAV devel-20060426 06.16.2006 Adware.RSpy-1
DrWeb 4.33 06.16.2006 Trojan.Raze
eTrust-InoculateIT 23.72.40 06.16.2006 no virus found
eTrust-Vet 12.6.2259 06.16.2006 no virus found
Ewido 3.5 06.16.2006 Adware.Raze
Fortinet 2.77.0.0 06.16.2006 Joke/RazeSpyware
F-Prot 3.16f 06.16.2006 no virus found
Ikarus 0.2.65.0 06.16.2006 AdWare.Raze.A
Kaspersky 4.0.2.24 06.16.2006 not-a-virus:AdWare.Win32.Raze.a
McAfee 4786 06.16.2006 no virus found
Microsoft 1.1441 06.16.2006 no virus found
NOD32v2 1.1604 06.16.2006 no virus found
Norman 5.90.21 06.16.2006 W32/Agent.IZL
Panda 9.0.0.4 06.16.2006 Adware/RazeSpyware
Sophos 4.06.0 06.16.2006 no virus found
Symantec 8.0 06.16.2006 Trojan.Desktophijack
TheHacker 5.9.8.160 06.16.2006 Adware/Raze.a
UNA 1.83 06.16.2006 Adware.Raze
VBA32 3.11.0 06.16.2006 AdWare.Raze.a
VirusBuster 4.3.7:9 06.16.2006 no virus found


Aditional Information
File size: 8329 bytes
MD5: b38368c71c4c984b0fba0d123525f778
SHA1: 238085b5b5db0a1f2b826925a11d953d6942ec23

 

Hallo,
gut, die Dateien löschst du mal, falls sie sich nicht normal löschen lassen machst du es mit killbox mit der Option "delete on reboot".

Wie sieht es auf deinem Desktop aus? Sind da noch Veränderungen? Wenn ja schaust du mal unter:
Systemsteuerung-->Anzeige-->Desktop-->Desktop anpassen-->Web
ob dort ein Eintrag ist, wenn ja entferne diesen.

Außerdem scannst du dein System mal mit Ewido und postest den Report.

Achja, die Dateien howpiper.exe, idownload(idemlog??).exe hast du ja schon entfernt, oder?


Grüße Jasager

 

So, die Probleme mit dem Desktop sind behoben.

Die drei .exe-Dateien sind auch weg !!!

howiper.exe und idownload.exe habe ich gleich bei Feststellung gelöscht.

Jetzt noch den Scan mit EWIDO ...

Meld mich dann wieder und poste den Log ...


Grüße Mike

 

Hier das Log von Ewido:


---------------------------------------------------------
ewido anti-malware - Scan Report
---------------------------------------------------------

+ Erstellt am: 23:37:51, 16.06.2006
+ Report-Checksumme: 31847CF6

+ Scanergebnis:

C:\Dokumente und Einstellungen\Mike\Cookies\mike@2o7[2].txt -> TrackingCookie.2o7 : Gesäubert ohne Backup
C:\Dokumente und Einstellungen\Mike\Cookies\mike@as-eu.falkag[2].txt -> TrackingCookie.Falkag : Gesäubert ohne Backup
C:\Dokumente und Einstellungen\Mike\Cookies\mike@as1.falkag[2].txt -> TrackingCookie.Falkag : Gesäubert ohne Backup
C:\Dokumente und Einstellungen\Mike\Cookies\mike@clickbank[2].txt -> TrackingCookie.Clickbank : Gesäubert ohne Backup
C:\Dokumente und Einstellungen\Mike\Cookies\mike@ivwbox[1].txt -> TrackingCookie.Ivwbox : Gesäubert ohne Backup
C:\Dokumente und Einstellungen\Mike\Cookies\mike@msnportal.112.2o7[1].txt -> TrackingCookie.2o7 : Gesäubert ohne Backup
C:\Dokumente und Einstellungen\Mike\Cookies\mike@ppms.popularix[1].txt -> TrackingCookie.Popularix : Gesäubert ohne Backup
C:\Dokumente und Einstellungen\Mike\Cookies\mike@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Gesäubert ohne Backup
C:\Dokumente und Einstellungen\Mike\Lokale Einstellungen\Temp\pts10.tmp -> Adware.Casino : Gesäubert ohne Backup
C:\Dokumente und Einstellungen\Mike\Lokale Einstellungen\Temp\pts11.tmp -> Adware.Casino : Gesäubert ohne Backup
C:\WINDOWS\system32\Msbb.exe.mwt -> Backdoor.Rbot : Gesäubert mit Backup
C:\WINDOWS\system32\MSlti32.exe.mwt -> Backdoor.Rbot : Gesäubert mit Backup


::Report Ende


Grüße Mike

 

Hallo,
huch , da hattest du ja schonmal ein Trojanerproblem. Escan hat zwar die Dateien des Backdoors gefunden und umbenannt, aber bei Backdoorbefall rate ich grundsätzlich dazu das System neu aufzusetzen. Warum kannst du in dem ersten Teil der Anleitung zum Neuaufsetzen nachlesen.


Grüße Jasager

 

Na dann werd ich mir das mal antun. Ist wohl besser so ...

Jetzt nur noch eine kleine Frage ...

Ich hab da nur so ne XP-Recovery-CD (keine Vollversion) ...

Kann ich da ganz normal installieren und was ist mit den ganzen Windows XP-Updates ? Muss ich die danach alle wieder runterladen ? Oder sind die irgendwo gespeichert ?

Auf jeden Fall bedanke ich mich bei Dir für die Hilfe.


Grüße Mike