wiawow32.sys entfernen - wie?

marcusmc

hi leute,

habe mir glaub ich grad eben so´n trojaner eingefangen.
im task-manager heißt er wiawow32.sys - ausserdem b.exe und c.exe und 17401874.exe - alle mit recht hohen speicherauslastungen.

wie bekomm ich sie runter?????

danke,
gruß

Marcus

PS: Es ist defintiv ein Trojaner. Und er lässt sich mit "easycleaner" nicht aus dem "Systemstart" löschen - weil irgendein "RegistryKey Fehler" vorhanden ist. Ausserdem ändert sich mein Hintergrund in einen blauen mit der Aufschrift "warning, alles was du tippst und welche seiten du besuchst werden ausgezeichnet und alle mails gelesen" usw. usw. - aber halt eben auf englisch

Und nun? Sobald ich nach dem Systemstart sofort den TaskManger öffne und b.exe, c.exe und diese 17... .exe lösche gehts.

Denke mal mit ein HJT gehts besser:

Logfile of HijackThis v1.99.1
Scan saved at 20:02:26, on 12.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
D:\Programme\Sandboxie\SbieSvc.exe
C:\WINDOWS\system32\sopidkc.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Belkin\Belkin 802.11g Wireless PCI Card Configuration Utility\Belkinwcui.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\msa.exe
C:\DOKUME~1\ETHANO~1\LOKALE~1\Temp\b.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Downloads\1_99_1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [egui] "D:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [17401874] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\17401874\17401874.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [Cognac] C:\DOKUME~1\ETHANO~1\LOKALE~1\Temp\b.exe
O4 - Global Startup: Belkin Wireless Utility.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/…b?1240682032187
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)
O23 - Service: Abel - Unknown owner - D:\Programme\Cain\Abel.exe (file missing)
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - D:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - D:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Programme\Java\jre6\bin\jqs.exe" -service -config "C:\Programme\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - D:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: sopidkc Service (sopidkc) - NewYork DVD LT - C:\WINDOWS\system32\sopidkc.exe

Ich hoffe ihr könnt was erkennen.....

Feri

Hallo, wie ich sehe verwendest du eine alte Version von Hijackthis. Bitte lade dir die neueste Version runter (HijackThis - Download - CHIP Online)

Scanne nacher nochmal durch und poste das neue Log.

MFG

marcusmc

... oh - okay. Neue Version ist drauf.

Hier das neue LogFile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:53:30, on 12.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
D:\Programme\Sandboxie\SbieSvc.exe
D:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
C:\Programme\Belkin\Belkin 802.11g Wireless PCI Card Configuration Utility\Belkinwcui.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [egui] "D:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - Global Startup: Belkin Wireless Utility.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/…b?1240682032187
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - D:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - D:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - D:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: sopidkc Service (sopidkc) - NewYork DVD LT - C:\WINDOWS\system32\sopidkc.exe

--
End of file - 3602 bytes

Feri

Gut tag. Hab mir das ganze mal kurz angeschaut. Diese Einträge sollten mal gefixt werden:

O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll <-- FIXEN!

O23 - Service: sopidkc Service (sopidkc) - NewYork DVD LT - C:\WINDOWS\system32\sopidkc.exe<--- FIXEN!

ansonsten sehe ich keine schädlichen Einträge...

http://www.hijackthis.de <-- Versuch es mal mit der Onlineauswertung

marcusmc

... okay.

Hab sie gefixt - danach nochmal gecheckt. Und beide Einträge waren wieder da.

Wie fixe ich denn richtig???
Wollte dieses wiawow32 im abgesicherten modus löschen, aber einfach so aus dem "system32" rauslöschen is wohl nich .....

Wo finde ich diesen Eintrag denn in der Registry?

Feri

... okay.

Hab sie gefixt - danach nochmal gecheckt. Und beide Einträge waren wieder da.

Wie fixe ich denn richtig???

Wollte dieses wiawow32 im abgesicherten modus löschen, aber einfach so aus dem "system32" rauslöschen is wohl nich .....

Wo finde ich diesen Eintrag denn in der Registry?

Probier es damit mal: Malwarebytes - Windows Vista Windows 7 Tipps Tricks Computer PC Hilfe

Auf die neueste Definition Updaten, dann im Abgesicherten Modus Scannen und die Schädlinge löschen.

marcusmc

Hab´s mal so gemacht wie Du gesagt hast - im agbesicherten Modus alles was angezeigt wurde, gelöscht.

Hab nochmal ein LogFile danach gemacht - findet sich da noch was???

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:06:13, on 13.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Programme\Java\jre6\bin\jqs.exe
D:\Programme\Sandboxie\SbieSvc.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
C:\Programme\Belkin\Belkin 802.11g Wireless PCI Card Configuration Utility\Belkinwcui.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [egui] "D:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - Global Startup: Belkin Wireless Utility.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/…b?1240682032187
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - D:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - D:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - D:\Programme\Sandboxie\SbieSvc.exe

--
End of file - 3141 bytes

Feri

wiawow32.sys

Yo. Etwas Stach mir schon mal ins Auge:

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Das ist NICHT gut. Diese Version von Internet Explorer ist sehr anfällig gegen Viren. Bitte lade dir die neueste version von Internet Explorer runter: Internet Explorer (für XP) - Download - CHIP Online

Ich glaube das könnte die Ursache sogar sein, weshalb du diese Viren bekommen hast.

Was dein Logfile betrifft, hab ich nix schädliches mehr gefunden.

Überprüfe mal im Taskmanager ob dieser Wiawow32.sys noch da ist.

Zum Schluss noch ein Tipp: Treibe dich nicht auf Warez und Hacker-Seiten rum

Xiaolong

Boah da waren sicher wieder paar Kiddies zugange

Also b.exe und c.exe sind aus den Prozessen verschwunden. Schlag mal in der Registry folgenden Pfad auf

HKLM > SOFTWARE > Microsoft > Windows > CurrentVersion > Run
HKCU > SOFTWARE > Microsoft > Windows > CurrentVersion > Run

Ob sich da noch .exe Dateien befinden die da nicht hingehören. Wenn ja einfach mal die Pfade gucken, wo diese Dateien sind, dann die Datei + Registryeintrag löschen.

marcusmc

@Supersani: In der Registry ist - zumindest in den von Dir genannten Einträgen - alles sauber. In HKLM ... ist nur der ESET NOD 32 Eintrag. IN HKCU ist nur "Standard" zu finden.

Feri: auch wenn ich den INet Explorer gar nicht nutze??? Nutze Firefox 3.5. Sollte ich den Explorer trotzdem updaten?

DANKE für Deine Hilfe, Feri

Gut´s Nächtle .....

Pit87

Sollte ich den Explorer trotzdem updaten?

Ja.

Software und Treiber sollten immer auf dem aktuellsten Stand sein.

Ausserdem, was wenn du den IE doch mal benutzen willst? Dann bist du mir Ver. 8 besser dran.

MfG Peter

wiawow32.sys entfernen - wie?

WindowsPower.de Artikel

Jetzt mitmachen!

Ähnliche Themen

Systemsteuerung Windows 11: Effiziente Steuerung Ihres Systems

Wie kann ich alle Systemsounds von Windows 11 deaktivieren?

Windows 11 Bloatware entfernen und Telemetrie optimieren

YouTube: Lassen sich die neuen Pop-Up Nag-Screens entfernen bzw. unterdrücken?

Kontext Menü Eintrag entfernen "Grafik per E-Mail senden..."

Suche Broker der Auf Linux Betriebssystem läuft?

Benutzer online in diesem Thema