Angeblich SBsoft - toolbar, man merkt nur nichts davon :)

[erigeron]

Hallo Leute!
Hab hier ein Problem mit pandas scan. Der meint andauernd, daß ich SBsoft in der registry hätte. Ich kann aber nicht über irgendwelche Toolbars oder sonstige komischen Dinge in meinem IE feststellen. Ich lang euch mal den hijackthis - report rüber, vielleicht findet ihr was...

Code:

Logfile of HijackThis v1.99.1
Scan saved at 17:53:01, on 04.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\AntiVirenKit InternetSecurity\Firewall\kavpf.exe
C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe
C:\Programme\UltimateZip 2.7\uzqkst.exe
C:\PROGRA~1\ANTIVI~1\WEBFIL~1\ADSCLE~1.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\ULTIMA~1.7\uzip.exe
C:\DOKUME~1\HGW0601\LOKALE~1\TEMP\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.club-vaio.com/de
O2 - BHO: Poly HTML Filter BHO - {0140DF95-9128-4053-AE72-F43F0CFCA062} - C:\WINDOWS\system32\SiKernel.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SIPAKBHO Class - {40FB69E1-9B7B-453F-B238-37D8E9528929} - C:\Programme\AntiVirenKit InternetSecurity\Webfilter\PAKIEPlugins.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: Offliner AdFilter Helper - {DC9377A2-2E8D-44A1-99DB-F8A821DF254D} - C:\WINDOWS\system32\SiPlugins.dll
O3 - Toolbar: WebFilter-Leiste - {75CD0BC5-E317-449C-9FF6-4986B3D48F64} - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\PAKIEGUI.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - Startup: UltimateZip Quick Start.lnk = C:\Programme\UltimateZip 2.7\uzqkst.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Firewall.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Webfilter.lnk = C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe
O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe
O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: VAIO Media Integrated Server (VAIOMediaPlatform-IntegratedServer-AppServer) - Sony Corporation - C:\Programme\sony\VAIO Media Integrated Server\VMISrv.exe
O23 - Service: VAIO Media Integrated Server (HTTP) (VAIOMediaPlatform-IntegratedServer-HTTP) - Unknown owner - C:\Programme\sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-IntegratedServer-HTTP /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\IntegratedServer\HTTP (file missing)
O23 - Service: VAIO Media Integrated Server (UPnP) (VAIOMediaPlatform-IntegratedServer-UPnP) - Sony Corporation - C:\Programme\sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe
O23 - Service: VAIO Media Gateway Server (VAIOMediaPlatform-Mobile-Gateway) - Unknown owner - C:\Programme\sony\VAIO Media Integrated Server\Platform\VmGateway.exe" /Service=VAIOMediaPlatform-Mobile-Gateway /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Addons\Packages\Mobile\Gateway" /DisplayName="VAIO Media Gateway Server (file missing)

[Jan]

Hallo erigeron,

Antwort ist in Arbeit...

Gruss, Jan

[Jan]

Bitte überprüfe folgende Datei bei HJT, Jotti und Virus-Total.

C:\WINDOWS\system32\SiKernel.dll

Veröffentliche die Ergebnisse mittels Kopieren/Einfügen in [Code] - das sollte dann etwa so aussehen.

Dein HJT läuft in einem temporären Ordner. Gemachte Änderungen können dadurch nicht zurück genommen werden. Entpacke HJT daher bitte in einen eigenen Ordner oder lade Dir die selbstentpackende Version herunter.

Du verwendest 2 AntiVirus Programme. Mehrere AntiVirus Programme können sich gegenseitig behindern, beschädigen oder zum Systemverlust führen. Ich empfehle Dir dringend, AntiVir zu deinstallieren.

[erigeron]

Hallo Jan!
Die uploader haben nichts zu bemängeln gehabt, außer Jotti, der meinte:

Code:

Auslastung:  0%        100%  
 
Datei:  SiKernel.dll  
Status:  EVENTUELL INFIZIERT/MALWARE (Es ist verdächtig, dass die Sandbox-Emulation lange dauerte und/oder die Datei gepackt war. Normalerweise sind Programme nicht gepackt und zwingen die Sandbox nicht zu einer langwierigen Emulation. Beachten Sie, dass kein Scanner eine Warnung gegeben hat, d.h. die Datei kann sehr wohl harmlos sein. Wir raten allerdings zur Vorsicht.)

und Virus - total, welches ewig lang braucht!

Hab heute (neu) GData installiert gehabt; der Scanner funktioniert aber nur im abgesicherten Modus richtig (war aber auch schon so, wie ich AVK auf meinen neuen Laptop draufzog). Ich werds eh heut noch deinstallieren.
Gruß rigron

[Jan]

Hallo erigeron,

bitte veröffentliche trotzdem alle 3 erstellten Logs in [Code].

Lade Dir nun Ewido herunter. Installiere das Programm. Unter 'Scanner' findest Du den Punkt 'Einstellungen'. Bitte setze hier die Markierung auf 'alle Dateien scannen'. Nun update das Programm und lass es Deinen Rechner überprüfen. Veröffentliche bitte auch das von Ewido erstellte Log in [Code].

Bei Symantec findest Du übrigens eine Anleitung zur manuellen Entfernung von 'SB Soft' - Du solltest Deinen Rechner auf Einträge unter 'Software' und auf vorhandene Dateien untersuchen. Dazu solltest Du Dir auch die versteckten Dateien auf Deinem Rechner anzeigen lassen: Start --> Arbeitsplatz --> Extras --> Ordneroptionen --> Ansicht --> 'Inhalte von Systemordnern anzeigen' und 'alle Dateien anzeigen'.

Gruss, Jan

[erigeron]

So, ich habe zwischenzeitlich GData entfernt und siehe da auch SiKernel.dll ist verschwunden. Ich kann dir also da nichts mitposten. Ich schau mich jetzt mal beim ewido um, was da wohl so zum Vorschein kommen mag ....

[Jan]

Hmm, wenn Du damit mal nur recht hast:

O2 - BHO: Poly HTML Filter BHO - {0140DF95-9128-4053-AE72-F43F0CFCA062} - C:\WINDOWS\system32\SiKernel.dll - CastleCops und Greatis.

Gruss, Jan

[erigeron]

Nun, ähhh..... .... Jedenfalls ist das ziemlich neu im HJT von mir. Vor ein paar Stunden war da noch nichts derartiges. Derweil läuft ewido und hat auch bis jetzt schon einiges gefunden (allerdings lauter "Kollegen", die ich mir schon mal alle mittels AntiVir zur Brust genommen hatte. Ziemlich hartknäckige Trojan - Downloader, spy - cookies usw. Ich poste den ewido - Report mit, wenn der Scan fertig ist und dann siehste ja genaueres).

[erigeron]

Hallo Jan!
Ewido hat mir da einiges angeschleppt (und das meiste auch desinfiziert), wie der Report anzeigt:

[code:]
---------------------------------------------------------
ewido security suite - Scan Report
---------------------------------------------------------

+ Erstellt am: 19:52:25, 04.10.2005
+ Report-Checksumme: CD261B73

+ Scanergebnis:

HKU\S-1-5-21-609832007-1388437710-1548541559-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{01 40DF95-9128-4053-AE72-F43F0CFCA062} -> Spyware.PolyFilter : Gesäubert mit Backup
HKU\S-1-5-21-609832007-1388437710-1548541559-1005\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{08 BEC6AA-49FC-4379-3587-4B21E286C19E} -> Spyware.SBSoft : Gesäubert mit Backup
HKU\S-1-5-21-609832007-1388437710-1548541559-1005\Software\SerG -> Spyware.EZ-Finder : Gesäubert mit Backup
HKU\S-1-5-21-609832007-1388437710-1548541559-1005\Software\SerG\SearchBar -> Spyware.EZ-Finder : Gesäubert mit Backup
[836] VM_00D60000 -> TrojanDownloader.Agent.uj : Fehler beim Säubern
[864] VM_00BF0000 -> TrojanDownloader.Agent.uj : Fehler beim Säubern
[824] VM_008A0000 -> TrojanDownloader.Agent.uj : Fehler beim Säubern
[1292] VM_009D0000 -> TrojanDownloader.Agent.uj : Fehler beim Säubern
[616] VM_00890000 -> TrojanDownloader.Agent.uj : Fehler beim Säubern
[624] VM_003A0000 -> TrojanDownloader.Agent.uj : Fehler beim Säubern
[1592] VM_008C0000 -> TrojanDownloader.Agent.uj : Fehler beim Säubern
[192] VM_003A0000 -> TrojanDownloader.Agent.uj : Fehler beim Säubern
[2400] VM_003B0000 -> TrojanDownloader.Agent.uj : Fehler beim Säubern
C:\Dokumente und Einstellungen\HGW0601\Cookies\hgw0601@2o7[1].txt -> Spyware.Cookie.2o7 : Gesäubert mit Backup
C:\Dokumente und Einstellungen\HGW0601\Cookies\hgw0601@advertising[2].txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
C:\Dokumente und Einstellungen\HGW0601\Cookies\hgw0601@as-eu.falkag[1].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\HGW0601\Cookies\hgw0601@as1.falkag[2].txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\Dokumente und Einstellungen\HGW0601\Cookies\hgw0601@doubleclick[1].txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup
C:\Dokumente und Einstellungen\HGW0601\Cookies\hgw0601@ivwbox[1].txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\Dokumente und Einstellungen\HGW0601\Cookies\hgw0601@mediaplex[1].txt -> Spyware.Cookie.Mediaplex : Gesäubert mit Backup
C:\Dokumente und Einstellungen\HGW0601\Cookies\hgw0601@servedby.advertising[2].txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-609832007-1388437710-1548541559-1005\Dc172.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-609832007-1388437710-1548541559-1005\Dc175.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-609832007-1388437710-1548541559-1005\Dc176.txt -> Spyware.Cookie.Falkag : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-609832007-1388437710-1548541559-1005\Dc177.txt -> Spyware.Cookie.Atdmt : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-609832007-1388437710-1548541559-1005\Dc181.txt -> Spyware.Cookie.Com : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-609832007-1388437710-1548541559-1005\Dc182.txt -> Spyware.Cookie.Doubleclick : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-609832007-1388437710-1548541559-1005\Dc184.txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-609832007-1388437710-1548541559-1005\Dc194.txt -> Spyware.Cookie.Hitbox : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-609832007-1388437710-1548541559-1005\Dc195.txt -> Spyware.Cookie.Masterstats : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-609832007-1388437710-1548541559-1005\Dc196.txt -> Spyware.Cookie.Ivwbox : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-609832007-1388437710-1548541559-1005\Dc198.txt -> Spyware.Cookie.Mediaplex : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-609832007-1388437710-1548541559-1005\Dc210.txt -> Spyware.Cookie.Popularix : Gesäubert mit Backup
C:\RECYCLER\S-1-5-21-609832007-1388437710-1548541559-1005\Dc217.txt -> Spyware.Cookie.Advertising : Gesäubert mit Backup


::Report Ende
[/code]

Ziemliches Chaos! Und diesen Trojan - Downloader kriegt man auch nicht so leicht von der Festplatte scheinbar.
Gruß Erigeron

[Jan]

Hallo Erigeron,

hübschen Strauss hast Du da...

Bitte update Ewido erneut , lösche alle Backups (auch die von AntiVir) und wechsel dann in den abgesicherten Modus von Windows. Führe hier erneut einen Scan mit Ewido aus. Bitte speichere auch dieses Logfile und poste es in [Code] (ohne Doppelpunkt... ).

Führe anschließend erneut eine Überprüfung mit Panda ActiveScan durch. Auch dieses Logfile würden wir gern in [Code] gepostet sehen.

Gruss, Jan