wiawow32.sys entfernen - wie?

[marcusmc]

hi leute,

habe mir glaub ich grad eben so´n trojaner eingefangen.
im task-manager heißt er wiawow32.sys - ausserdem b.exe und c.exe und 17401874.exe - alle mit recht hohen speicherauslastungen.

wie bekomm ich sie runter?????

danke,
gruß

Marcus

PS: Es ist defintiv ein Trojaner. Und er lässt sich mit "easycleaner" nicht aus dem "Systemstart" löschen - weil irgendein "RegistryKey Fehler" vorhanden ist. Ausserdem ändert sich mein Hintergrund in einen blauen mit der Aufschrift "warning, alles was du tippst und welche seiten du besuchst werden ausgezeichnet und alle mails gelesen" usw. usw. - aber halt eben auf englisch

Und nun? Sobald ich nach dem Systemstart sofort den TaskManger öffne und b.exe, c.exe und diese 17... .exe lösche gehts.

Denke mal mit ein HJT gehts besser:

Logfile of HijackThis v1.99.1
Scan saved at 20:02:26, on 12.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
D:\Programme\Sandboxie\SbieSvc.exe
C:\WINDOWS\system32\sopidkc.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Belkin\Belkin 802.11g Wireless PCI Card Configuration Utility\Belkinwcui.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\msa.exe
C:\DOKUME~1\ETHANO~1\LOKALE~1\Temp\b.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Downloads\1_99_1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

Please, Anmelden or Registrieren to view URLs content!

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [egui] "D:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [17401874] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\17401874\17401874.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Cognac] C:\DOKUME~1\ETHANO~1\LOKALE~1\Temp\b.exe
O4 - Global Startup: Belkin Wireless Utility.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

Please, Anmelden or Registrieren to view URLs content!

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O23 - Service: Abel - Unknown owner - D:\Programme\Cain\Abel.exe (file missing)
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - D:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - D:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - D:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: sopidkc Service (sopidkc) - NewYork DVD LT - C:\WINDOWS\system32\sopidkc.exe

Ich hoffe ihr könnt was erkennen.....

 

[Feri]

Hallo, wie ich sehe verwendest du eine alte Version von Hijackthis. Bitte lade dir die neueste Version runter (HijackThis - Download - CHIP Online)

Scanne nacher nochmal durch und poste das neue Log.

MFG

 

[marcusmc]

... oh - okay. Neue Version ist drauf.

Hier das neue LogFile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:53:30, on 12.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
D:\Programme\Sandboxie\SbieSvc.exe
D:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
C:\Programme\Belkin\Belkin 802.11g Wireless PCI Card Configuration Utility\Belkinwcui.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

Please, Anmelden or Registrieren to view URLs content!

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [egui] "D:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - Global Startup: Belkin Wireless Utility.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

Please, Anmelden or Registrieren to view URLs content!

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - D:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - D:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - D:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: sopidkc Service (sopidkc) - NewYork DVD LT - C:\WINDOWS\system32\sopidkc.exe

--
End of file - 3602 bytes

 

[Feri]

Gut tag. Hab mir das ganze mal kurz angeschaut. Diese Einträge sollten mal gefixt werden:

O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll <-- FIXEN!

O23 - Service: sopidkc Service (sopidkc) - NewYork DVD LT - C:\WINDOWS\system32\sopidkc.exe<--- FIXEN!

ansonsten sehe ich keine schädlichen Einträge...

http://www.hijackthis.de <-- Versuch es mal mit der Onlineauswertung

 

[marcusmc]

... okay.

Hab sie gefixt - danach nochmal gecheckt. Und beide Einträge waren wieder da.

Wie fixe ich denn richtig???
Wollte dieses wiawow32 im abgesicherten modus löschen, aber einfach so aus dem "system32" rauslöschen is wohl nich .....

Wo finde ich diesen Eintrag denn in der Registry?

 

[Feri]

... okay.

Hab sie gefixt - danach nochmal gecheckt. Und beide Einträge waren wieder da.

Wie fixe ich denn richtig???

Wollte dieses wiawow32 im abgesicherten modus löschen, aber einfach so aus dem "system32" rauslöschen is wohl nich .....

Wo finde ich diesen Eintrag denn in der Registry?

Probier es damit mal:

Please, Anmelden or Registrieren to view URLs content!

Auf die neueste Definition Updaten, dann im Abgesicherten Modus Scannen und die Schädlinge löschen.

 

[marcusmc]

Hab´s mal so gemacht wie Du gesagt hast - im agbesicherten Modus alles was angezeigt wurde, gelöscht.

Hab nochmal ein LogFile danach gemacht - findet sich da noch was???

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:06:13, on 13.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Programme\Java\jre6\bin\jqs.exe
D:\Programme\Sandboxie\SbieSvc.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
C:\Programme\Belkin\Belkin 802.11g Wireless PCI Card Configuration Utility\Belkinwcui.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

Please, Anmelden or Registrieren to view URLs content!

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [egui] "D:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - Global Startup: Belkin Wireless Utility.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

Please, Anmelden or Registrieren to view URLs content!

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - D:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - D:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - D:\Programme\Sandboxie\SbieSvc.exe

--
End of file - 3141 bytes

 

[Feri]

wiawow32.sys

Yo. Etwas Stach mir schon mal ins Auge:

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Das ist NICHT gut. Diese Version von Internet Explorer ist sehr anfällig gegen Viren. Bitte lade dir die neueste version von Internet Explorer runter:

Please, Anmelden or Registrieren to view URLs content!

Ich glaube das könnte die Ursache sogar sein, weshalb du diese Viren bekommen hast.

Was dein Logfile betrifft, hab ich nix schädliches mehr gefunden.

Überprüfe mal im Taskmanager ob dieser Wiawow32.sys noch da ist.

Zum Schluss noch ein Tipp: Treibe dich nicht auf Warez und Hacker-Seiten rum

 

[Xiaolong]

Boah da waren sicher wieder paar Kiddies zugange

Also b.exe und c.exe sind aus den Prozessen verschwunden. Schlag mal in der Registry folgenden Pfad auf

HKLM > SOFTWARE > Microsoft > Windows > CurrentVersion > Run
HKCU > SOFTWARE > Microsoft > Windows > CurrentVersion > Run

Ob sich da noch .exe Dateien befinden die da nicht hingehören. Wenn ja einfach mal die Pfade gucken, wo diese Dateien sind, dann die Datei + Registryeintrag löschen.

 

[marcusmc]

@Supersani: In der Registry ist - zumindest in den von Dir genannten Einträgen - alles sauber. In HKLM ... ist nur der ESET NOD 32 Eintrag. IN HKCU ist nur "Standard" zu finden.

Feri: auch wenn ich den INet Explorer gar nicht nutze??? Nutze Firefox 3.5. Sollte ich den Explorer trotzdem updaten?

DANKE für Deine Hilfe, Feri

Gut´s Nächtle .....

 

[Pit87]

Sollte ich den Explorer trotzdem updaten?

Ja.

Software und Treiber sollten immer auf dem aktuellsten Stand sein.

Ausserdem, was wenn du den IE doch mal benutzen willst? Dann bist du mir Ver. 8 besser dran.

MfG Peter