Malware wird von Spybot nicht gefunden = Popup TheClickCheck + TVChina

[Chrishnx246]

Hi Leute,

ich habe seit einigen Tagen Malware die mir speziell bei der Suche über Google nicht angeforderte Seiten öffnet.
Wenn ich Suchergebnisse öffne kommt nicht die Seite, sondern entweder "TheClickCheck.com" (in den meisten Fällen) und ab und an "TVChina".

Ich würde mich freuen, wenn sich das Spybot Team dem annehmen könnte und wenn mir jemand unabhängig davon sagen könnte wie ich die Malware "manuell" entfernen kann. Hab von sowas keine Ahnung und gerade eshalb Spybot. :bigthumb:

Gruß Chris

 

[Chrishnx246]

HiJAck Log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:17:18, on 17.01.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.21148)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINXP\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINXP\System32\svchost.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINXP\system32\oodag.exe
C:\WINXP\System32\svchost.exe
C:\Programme\PTBSync\PTBSync.exe
C:\WINXP\system32\svchost.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINXP\system32\rundll32.exe
C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE
C:\Programme\BitTorrent\bittorrent.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [PTBSync] C:\Programme\PTBSync\PTBSync.exe /Start
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [mmcctlCMP] rundll32.exe "C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\mmcctlCMP\mmcctlCMP.dll", DllInit
O4 - Startup: Outlook 2007.lnk = C:\Programme\Microsoft Office\Office12\OUTLOOK.EXE
O4 - Global Startup: VPN Client.lnk = ?
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\npjpi160_17.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\npjpi160_17.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O20 - AppInit_DLLs: acaptuser32.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINXP\system32\oodag.exe
O23 - Service: Atomuhr Synchronisation (PTBSync) - ElmüSoft - C:\Programme\PTBSync\PTBSync.exe

--
End of file - 5128 bytes

 

[Chrishnx246]

Ich hab zwar wenig Ahnung aber hinweise speziell zur mmcctlCMP würden mich sehr interessieren.
Das Web gibt irgend wie nix dazu her!???

EDIT:

Die Datei "mmcctlCMP.dll" befindetsich seit dem 8. Januar auf meinem PC. Könnte also passen.

 

[Matt]

Hallo Chrishnx246,

diese Zeile sieht in der Tat verdächtig aus:

O4 - HKCU\..\Run: [mmcctlCMP] rundll32.exe "C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\mmcctlCMP\mmcctlCMP.dll", DllInit

Geh mal bitte zu VirusTotal, klicke auf durchsuchen, folge dem Pfad C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\mmcctlCMP\ und lade die Datei mmcctlCMP.dll" hoch.

Poste das Ergebnis von VirusTotal bitte. :thanks:

 

[Chrishnx246]

Ergebnis ist kein Fund!

Komplettes Ergebnis ist mehrer Seiten daher hier der Link zum Ergebnis: http://www.virustotal.com/de/analisis/82d8cb701eebec365a280265157a0d2735f027f15fa10abffcb615d2ae78c2fb-1263724650

Gruß Chris

 

[Matt]

Hallo Chris,

packe bitte den Ordner mmcctlCMP in ein Zip oder RAR-Archiv und schicke die Datei an detections(AT)spybot.info (ersetze (AT) mit @) mit einem Link zu diesem thread.
Dann kann sich das TeamSpybot die Sache mal anschaun.

Es wundert mich ein wenig, dass in deinem HijackThis-Report keine R-Einträge zu finden sind.
Benenne die Datei HijackThis.exe um in Chrishnx246.exe und erstelle ein neues Logfile bitte.

Gehe ich richtig in der Annhame, dass du kein Programm installiert hast, dass diesen komsichen Eintrag erklären könnte?

 

[Chrishnx246]

Email ist raus.

Ich hab die Ereignisanzeige bemüht und nichts gefunden.

Hab mal nen Screenshot der Dateien die zum Zeitpunkt erstellt wurden, zu der die Datei erstellt wurde. Vielleicht hat das ja was miteinander zu tun. Wie gesagt kenn mich da nicht aus und will euch halt so viel wie möglich iNformation geben.



Die rechte Spalte mit Daten ist das Datum der Erstellung die linke das Datum der letzten Modifikation!

Interessant ist für euch vielleicht auch, dass ich nur Phasenweise das Problem des Kontrollverlusts habe.
Der letzte Zugriff auf diese Datei liegt jetzt z.B. schon 15 Minuten zurück.

Achso und mittlerweile kommt auch irgend eine "Cash Seite".

Gruß Chris

 

[Matt]

Hallo Chris,

Danke für das Verschicken des Ordners. :bigthumb:

es schadet nicht, wenn du diesen Eintrag mit HijackThis mal "platt" machst:

Schließe alle offenen Programme
Öffne HijackThis
Wähle Do a system scan only
Nachdem HJT durchgelaufen ist, setze ein Häkchen vor die folgende Zeile:

O4 - HKCU\..\Run: [mmcctlCMP] rundll32.exe "C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\mmcctlCMP\mmcctlCMP.dll", DllInit

Klicke Fix checked
Schließe HijackThis
Lösche den Ordner mmcctlCMP, damit er in den Papierkorb verschoben wird.
Starte deinen Rechner neu und erstelle ein neues HJT logfile. Aber bitte dieses Mal vorher HijackThis.exe in Chrishnx246.exe umbenennen.

:thanks:

Es schadet auch nicht, wenn du weitere AntiSpyware Programme installierst, diese updatest und einen kompletten Suchlauf durchlaufen lässt.

Ich hoffe, dass sich morgen jemand vom TeamSpybot um dich kümmern wird. Mehr darf ich dir nicht helfen, ich bin gerade noch selbst in der Ausbildung, was das Entfernen von Malware angeht.

 

[Chrishnx246]

Hi Matt,

danke für die Unterstützung.

Musste ihn von Hand entfernen, da er nicht automatisch zu entfernen war.
Da ich mir aber nochmal angschaut habe auf was er alles zugreift, war ich mir sicher und bin ihm an den Kragen.



Einziges Hindernis war AntiVir, da ich nicht dran gedacht habe dass die ja die Prozesse schützen.
Dadurch konnte ich ihn nicht per Unlocker löschen obwohl er ja mit Prozessen verbunden war. Aber nachdem ich mich erinnert habe, ging uach das dann! :

Viele Grüße und Danke nochmal,

Gruß Chris

P.S: Ich kann natürlich noch nicht sagen ob jetzt alles wieder Okay ist, aber den "mmcctlCMP" hab ich los und das was ich gesehen habe scheint er mir auf jedenfall Schadsoftware gewesen zu sein.

 

[raman]

Was befindet sich denn noch in C:\Dokumente und Einstellungen\Chris\Lokale Einstellungen\Anwendungsdaten\mmcctlCMP

 

[Chrishnx246]

Hi Raman,

hab mittlerweile den Ordner gelöscht.
In dem Ordner war nur die mmcctlCMP.dll sonst nichts.
Ordner mit Inhalt hab ich euch aber an die detections Emailadresse geschickt, die der Matt mir gegeben hat.

Komisch ist nur, dass ich der einzige bin der das TheClickcheck.com Problem hat und die mmcctlCMP.dll gefunden hat.
Die Probleme/Symptome die ich hatte, habe ich in amerikanischen Foren gefunden (überwiegend aus dem Sommer 2009) aber nie etwas von besagter .dll

Deswegen war ich ja auch so zögerlich.
Ausserdem bekommt man für mmcctlCMP nur Treffer zu dem diesem Thread hier über Google, was mich zusätzlich verunischert hat.

Gruß Chris

 

[raman]

Zumindest ist die Datei "boese" und in der Konstellation wundert es micht, das nicht ein AV Programm angeschlagen hat. Vom Aufbau her sieht das wohl nach Vundo Variante aus..

Bedenke, das das u.U nicht alle Malware Dateien gefunden und das evtl. alle deine Passworte gestohlen wurden.