Plötzlich Antivirus und blauer Desktop mit Fehlermeldung

neri86 · 09.08.2008, 16:45

Hallo,
ich habe bereits bei google gesucht und bin eigentlich immer wieder auf Beiträge in diesem Forum gelandet.
Nun sind viele Beiträge ähnlich, aber ich bin mir einfach unsicher, was ich machen soll. Da es doch ein paar Unterschiede gibt.

1. Plötzlich hab ich Antivirus. Ich habe meinen PC seit 1 1/2 Jahren und wenn ich Antivirus drauf hab, so hatte ich es eigentlich nie im Betrieb. Und bis heute hatte es sich auch niemals gemeldet. Nun geh ich zum Mittagessen und als ich wieder komm, ist mein Bildschirm blau und sagt mir, ich müsse mein System überprüfen.

Ich habe also meinen Pc ausgeschaltet (erstmal aus Panik) und dann neu gestartet. Dann hat er mein System überprüft und nun ist mein Deskop blau mit der Fehlermeldung 'Warning. Spyware detected on your computer. Install an Antivirus or spyware remoter to clean your computer.'
Diese Meldung hab ich hier schon ein paar Mal gefunden...aber gleichzeitig ist nun das Antivirus XP ständig aktiv und gibt mir ständig folgende Meldung:
'Antivirus XP has found 3079 viruses on your Computer. It ist recommended to disinfect files as soon as possible.'

Ich habe Avast! als normales Programm und hab es jetzt nochmal scannen lassen und es hat auch einige Viren gefunden, die ich dann entfernt habe.
Ich habe keine Ahnung...hängt das mit Antivirus zusammen, warum öffnete sich dieses Programm plötzlich und nun bekomme ich es nicht mehr weg und es will auch ständig, dass ich mich dann registriere. Was wohl soviel heißt, wie es kaufen.

Ich habe einen HiJackThis-Scan gemacht, da ich das hier öfter gelesen hatte. Vielleicht kann mir jemand helfen.

Gruß,
Neri

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:13:53, on 09.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\WINDOWS\system32\lphclsej0e93w.exe
C:\WINDOWS\msauc.exe
C:\Programme\rhcgsej0e93w\rhcgsej0e93w.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6\ICQ.exe
C:\WINDOWS\system32\drivers\svchost.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\WINDOWS\system32\pphclsej0e93w.exe
C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Acer\Empowering Technology\eLock\LockServ.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
D:\Programme\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\mcrdsvc.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\RtkBtMnt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashSimpl.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\xxx\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://global.acer.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FLASHGET\jccatch.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\PROGRA~1\FLASHGET\getflash.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\fgiebar.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [preload] C:\Windows\RUNXMLPL.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [TrayServer] C:\Programme\MAGIX\Video_deluxe_2008_e-version\TrayServer.exe
O4 - HKLM\..\Run: [lphclsej0e93w] C:\WINDOWS\system32\lphclsej0e93w.exe
O4 - HKLM\..\Run: [lsass driver] C:\WINDOWS\msauc.exe
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kduuu.exe] C:\WINDOWS\system32\kduuu.exe
O4 - HKLM\..\Run: [SMrhcgsej0e93w] C:\Programme\rhcgsej0e93w\rhcgsej0e93w.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
O4 - HKCU\..\Run: [iexplorer] C:\WINDOWS\iexplorer.exe --system
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FLASHGET\flashget.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLACSD.EXE
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - D:\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: LockServ - Unknown owner - C:\Acer\Empowering Technology\eLock\LockServ.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 9327 bytes

cosinus · 09.08.2008, 16:57

Hallo

Installiere in absehbarer Zeit das SP3 für Windows XP!

Acker das hier für weitere Analysen ab:

1.) Folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

ATTFilter

C:\WINDOWS\system32\lphclsej0e93w.exe
C:\WINDOWS\msauc.exe
C:\Programme\rhcgsej0e93w\rhcgsej0e93w.exe
C:\WINDOWS\system32\drivers\svchost.exe
C:\WINDOWS\system32\pphclsej0e93w.exe
C:\WINDOWS\system32\kduuu.exe
C:\WINDOWS\iexplorer.exe

2.) Malwarebytes Antimalware ausführen und Logfile posten

3.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste die Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

neri86 · 09.08.2008, 19:22

So, ich hoffe ich poste hier das Richtige. Ich habe sowas noch nie gemacht :/

Die Dateiüberprüfung bei virustotal

Code:

ATTFilter

msauc.exe 
Ergebnis: 10/36 (27.78%)

	
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3	2008.8.9.0	2008.08.08	-
AntiVir	7.8.1.19	2008.08.09	DR/Delphi.Gen
Authentium	5.1.0.4	2008.08.09	-
Avast	4.8.1195.0	2008.08.08	-
AVG	8.0.0.156	2008.08.09	Win32/Heur
BitDefender	7.2	2008.08.09	-
CAT-QuickHeal	9.50	2008.08.08	-
ClamAV	0.93.1	2008.08.09	-
DrWeb	4.44.0.09170	2008.08.09	Trojan.MulDrop.18267
eSafe	7.0.17.0	2008.08.07	-
eTrust-Vet	31.6.6021	2008.08.08	-
Ewido	4.0	2008.08.09	-
F-Prot	4.4.4.56	2008.08.08	-
F-Secure	7.60.13501.0	2008.08.09	-
Fortinet	3.14.0.0	2008.08.09	-
GData	2.0.7306.1023	2008.08.09	Trojan.Win32.Buzus.qpv
Ikarus	T3.1.1.34.0	2008.08.09	Downloader.Delphi
K7AntiVirus	7.10.408	2008.08.09	-
Kaspersky	7.0.0.125	2008.08.09	Trojan.Win32.Buzus.qpv
McAfee	5357	2008.08.08	-
Microsoft	1.3807	2008.08.09	VirTool:Win32/DelfInject.gen!AM
NOD32v2	3341	2008.08.08	a variant of Win32/Injector.CA
Norman	5.80.02	2008.08.08	-
Panda	9.0.0.4	2008.08.09	-
PCTools	4.4.2.0	2008.08.09	-
Prevx1	V2	2008.08.09	Cloaked Malware
Rising	20.56.41.00	2008.08.08	-
Sophos	4.32.0	2008.08.09	-
Sunbelt	3.1.1538.1	2008.08.09	-
Symantec	10	2008.08.09	-
TheHacker	6.2.96.395	2008.08.08	-
TrendMicro	8.700.0.1004	2008.08.08	-
VBA32	3.12.8.3	2008.08.09	-
ViRobot	2008.8.8.1329	2008.08.08	-
VirusBuster	4.5.11.0	2008.08.09	-
Webwasher-Gateway	6.6.2	2008.08.09	Trojan.Dropper.Delphi.Gen
weitere Informationen
File size: 173056 bytes
MD5...: c18d9afdd46e9a37f0efd9798db965c8
SHA1..: f6b2bd1109603370cec532b24756c86d593a580a
SHA256: d2cb609c81557fd7140297a07ff7da91bafbcfbfdd40f9b7c221fc8f77dba0dc
SHA512: 309347b725e3e3da42153cb20f0125e19d84cc11986e82bf7601e4d2badbad59
1dd0a29dc41d67427de2f949d1e8189ed0daa9e41be19c74ed9b9aca7563906d
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x20224c
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x1464 0x1600 6.07 2162c62f09932d6119e70d15c523d9d2
DATA 0x3000 0x28078 0x28200 8.00 8dd745f546e58c2c1014b05cb59a7b29
BSS 0x2c000 0x255 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x2d000 0x200 0x200 4.27 dd6bdda0840264dd36df36d1d6d3c93c
.tls 0x2e000 0x4 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x2f000 0x18 0x200 0.20 194a1236d8d346ed37e56d37571e2196
.reloc 0x30000 0x1c0 0x200 5.60 1c4ab4b8798b59c4a0a0334a6cbf3122
.rsrc 0x31000 0x78 0x200 0.42 b5d4ff36683bc2f3edcf97b0dd597eb5

( 4 imports )
> kernel32.dll: GetCurrentThreadId, ExitProcess, RtlUnwind, RaiseException, GetCommandLineA, TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA, FreeLibrary, HeapFree, HeapReAlloc, HeapAlloc, GetProcessHeap
> kernel32.dll: LoadLibraryA, GetProcAddress
> gdi32.dll: SetTextColor
> user32.dll: GetDC

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=0A3C483A0085FA7EA49102443A166A00393B5FDE

Code:

ATTFilter

Datei lphclsej0e93w.exe

Ergebnis: 4/36 (11.11%)
Antivirus 	Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3 	- 	- 	-
AntiVir 	- 	- 	-
Authentium 	- 	- 	-
Avast 	- 	- 	-
AVG 	- 	- 	-
BitDefender 	- 	- 	-
CAT-QuickHeal 	- 	- 	(Suspicious) - DNAScan
ClamAV 	- 	- 	-
DrWeb 	- 	- 	-
eSafe 	- 	- 	Suspicious File
eTrust-Vet 	- 	- 	-
Ewido 	- 	- 	-
F-Prot 	- 	- 	-
F-Secure 	- 	- 	-
Fortinet 	- 	- 	-
GData 	- 	- 	-
Ikarus 	- 	- 	-
K7AntiVirus 	- 	- 	-
Kaspersky 	- 	- 	-
McAfee 	- 	- 	-
Microsoft 	- 	- 	TrojanDownloader:Win32/Renos.gen!AQ
NOD32v2 	- 	- 	-
Norman 	- 	- 	-
Panda 	- 	- 	-
PCTools 	- 	- 	-
Prevx1 	- 	- 	Malicious Software
Rising 	- 	- 	-
Sophos 	- 	- 	-
Sunbelt 	- 	- 	-
Symantec 	- 	- 	-
TheHacker 	- 	- 	-
TrendMicro 	- 	- 	-
VBA32 	- 	- 	-
ViRobot 	- 	- 	-
VirusBuster 	- 	- 	-
Webwasher-Gateway 	- 	- 	-
weitere Informationen
MD5: d5c215bd13f4ae57f07cc82cea7da85d
SHA1: 3be3077f61b35effcdb59ce0515f0b79b316c3d6
SHA256: a3e8d3eaacb65a64ce9c2a6318c38f627dd96bd7a8805d94ba7af72555a92b57
SHA512: 37f19581445060887587fb7f9f5aa06abedca2051773c289fc60e6090ffc951ebd81c1895a582db9db857c8364ac17233aaf08c2c37f5edba87c596a14880471

Code:

ATTFilter

Datei rhcgsej0e93w.exe

Ergebnis: 9/35 (25.72%)
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.8.9.0	2008.08.08	-
AntiVir	7.8.1.19	2008.08.09	-
Authentium	5.1.0.4	2008.08.09	-
Avast	4.8.1195.0	2008.08.08	-
AVG	8.0.0.156	2008.08.09	Generic11.HJK
BitDefender	7.2	2008.08.09	-
CAT-QuickHeal	9.50	2008.08.08	(Suspicious) - DNAScan
ClamAV	0.93.1	2008.08.09	-
eSafe	7.0.17.0	2008.08.07	-
eTrust-Vet	31.6.6021	2008.08.08	-
Ewido	4.0	2008.08.09	-
F-Prot	4.4.4.56	2008.08.08	-
F-Secure	7.60.13501.0	2008.08.09	Trojan.Win32.Monder.gen
Fortinet	3.14.0.0	2008.08.09	W32/Monder.ZDC!tr
GData	2.0.7306.1023	2008.08.09	Trojan.Win32.Monder.gen
Ikarus	T3.1.1.34.0	2008.08.09	Virus.Trojan.Win32.Monder
K7AntiVirus	7.10.408	2008.08.09	-
Kaspersky	7.0.0.125	2008.08.09	Trojan.Win32.Monder.gen
McAfee	5357	2008.08.08	-
Microsoft	1.3807	2008.08.09	Program:Win32/Antivirus2008
NOD32v2	3341	2008.08.08	-
Norman	5.80.02	2008.08.08	-
Panda	9.0.0.4	2008.08.09	-
PCTools	4.4.2.0	2008.08.09	-
Prevx1	V2	2008.08.09	Malicious Software
Rising	20.56.41.00	2008.08.08	-
Sophos	4.32.0	2008.08.09	-
Sunbelt	3.1.1538.1	2008.08.09	-
Symantec	10	2008.08.09	-
TheHacker	6.2.96.395	2008.08.08	-
TrendMicro	8.700.0.1004	2008.08.08	-
VBA32	3.12.8.3	2008.08.09	-
ViRobot	2008.8.8.1329	2008.08.08	-
VirusBuster	4.5.11.0	2008.08.09	-
Webwasher-Gateway	6.6.2	2008.08.09	-
weitere Informationen
File size: 790528 bytes
MD5...: 5d26da4de5c59fd2e4f2eb66626d0160
SHA1..: a9d1e4d3d33753071cdb33e1a4fb50b961f627d6
SHA256: 061d3d3c5c433475ce4021ee7fa79ac4e4f32514ee4a8b83af611d0cbc06e737
SHA512: d4fb4bc0d92cb58b09c2e698a281e1a9a0145a29642261fb3b7add7bd21ac68a
29d5347c0890ae619bc021e2c033e4edeb0e858d681750fb4bd888e57f93655c
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401bd7
timedatestamp.....: 0x489c6d2c (Fri Aug 08 15:58:36 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x96fdec 0x4000 5.10 abe9e076c8ca5e676946e080f8f1e3c4
.rdata 0x971000 0xadc64 0xae000 7.99 3af97df68ee3967fda003dc118ea61e9
.rsrc 0xa1f000 0xd000 0xd000 4.18 716295caba74e83b629eb981e3f96b1f
.pack32 0xa2c000 0xd5c 0x1000 0.89 d7b6b9ba844af8d248b75a3c70ed3b80

( 2 imports )
> kernel32.dll: CreateDirectoryExA, ReadConsoleInputExA, IsBadWritePtr, FlushConsoleInputBuffer, ReadProcessMemory, FindNextFileW, Process32NextW
> user32.dll: DdeAccessData, GetClassInfoA, IsHungAppWindow, GetDlgItemTextW, CreateMDIWindowA, SetDebugErrorLevel, GetDlgItem, FrameRect

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=D1CF9C8800A2395510800C311D7A5800E822021B

Code:

ATTFilter

Datei svchost.exe 

Ergebnis: 11/36 (30.56%)
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.8.9.0	2008.08.08	-
AntiVir	7.8.1.19	2008.08.09	TR/Crypt.XPACK.Gen
Authentium	5.1.0.4	2008.08.09	-
Avast	4.8.1195.0	2008.08.08	-
AVG	8.0.0.156	2008.08.09	Pakes
BitDefender	7.2	2008.08.09	-
CAT-QuickHeal	9.50	2008.08.08	-
ClamAV	0.93.1	2008.08.09	-
DrWeb	4.44.0.09170	2008.08.09	-
eSafe	7.0.17.0	2008.08.07	-
eTrust-Vet	31.6.6021	2008.08.08	-
Ewido	4.0	2008.08.09	-
F-Prot	4.4.4.56	2008.08.08	-
F-Secure	7.60.13501.0	2008.08.09	-
Fortinet	3.14.0.0	2008.08.09	-
GData	2.0.7306.1023	2008.08.09	Trojan-Downloader.Win32.Small.aapn
Ikarus	T3.1.1.34.0	2008.08.09	Trojan.Crypt.XPACK
K7AntiVirus	7.10.408	2008.08.09	-
Kaspersky	7.0.0.125	2008.08.09	Trojan-Downloader.Win32.Small.aapn
McAfee	5357	2008.08.08	-
Microsoft	1.3807	2008.08.09	-
NOD32v2	3341	2008.08.08	-
Norman	5.80.02	2008.08.08	-
Panda	9.0.0.4	2008.08.09	Suspicious file
PCTools	4.4.2.0	2008.08.09	-
Prevx1	V2	2008.08.09	Cloaked Malware
Rising	20.56.41.00	2008.08.08	-
Sophos	4.32.0	2008.08.09	Mal/EncPk-EI
Sunbelt	3.1.1538.1	2008.08.09	-
Symantec	10	2008.08.09	-
TheHacker	6.2.96.395	2008.08.08	-
TrendMicro	8.700.0.1004	2008.08.08	-
VBA32	3.12.8.3	2008.08.09	suspected of Malware-Cryptor.Win32.General.2
ViRobot	2008.8.8.1329	2008.08.08	-
VirusBuster	4.5.11.0	2008.08.09	Trojan.Crypt.PL
Webwasher-Gateway	6.6.2	2008.08.09	Trojan.Crypt.XPACK.Gen
weitere Informationen
File size: 25088 bytes
MD5...: 281391922c3f5466e970cedc92c93ea9
SHA1..: ecd2f0ec1113d75e885ee28c72aa640b4c7d0bab
SHA256: 5a08874f23c7c26b5f6ab97077ed807ef286a7f49715e4a88c9e586e5a5f061f
SHA512: 8ccc50c2b05e5925257b38e0d44fa697eb8832c0470fc05e5667a4cea792a51f
2eebf6a7535807547ff781380fcf72b05a487d9130fe147f81d8efc92cbcf186
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4010a3
timedatestamp.....: 0x47f48d4d (Thu Apr 03 07:54:53 2008)
machinetype.......: 0x14c (I386)

( 2 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x103c 0x1200 2.84 f0a6c524a61fa0d470a7e71a6608a18f
.data 0x3000 0x12f94 0x4c00 7.76 8cbed7d1834462e51ca853b73a83a4b6

( 1 imports )
> comctl32.dll: ImageList_GetIconSize, ImageList_Draw, DrawStatusTextW, CreateToolbar, ImageList_Add, ImageList_DrawEx, ImageList_DragEnter, ImageList_GetIcon, CreateUpDownControl

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=91D5316000329F1B62ED003B3C2E07003F9AD1BC

Code:

ATTFilter

Datei pphclsej0e93w.exe 

Ergebnis: 26/36 (72.23%)
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.8.9.0	2008.08.08	Win-Trojan/Fackav.94208
AntiVir	7.8.1.19	2008.08.09	TR/Dldr.FraudLoa.NC
Authentium	5.1.0.4	2008.08.09	-
Avast	4.8.1195.0	2008.08.08	-
AVG	8.0.0.156	2008.08.09	Agent.ZAK
BitDefender	7.2	2008.08.09	Dropped:BAT.AutoDelete.A
CAT-QuickHeal	9.50	2008.08.08	FraudTool.MalwareProtector.d (Not a Virus)
ClamAV	0.93.1	2008.08.09	BAT.AutoDelete.A
DrWeb	4.44.0.09170	2008.08.09	Trojan.Fakealert.949
eSafe	7.0.17.0	2008.08.07	-
eTrust-Vet	31.6.6021	2008.08.08	Win32/FakeAlert.AL
Ewido	4.0	2008.08.09	Not-A-Virus.PUP.MalwareProtector.d
F-Prot	4.4.4.56	2008.08.08	-
F-Secure	7.60.13501.0	2008.08.09	FraudTool.Win32.MalwareProtector.d
Fortinet	3.14.0.0	2008.08.09	Misc/MalwareProtector
GData	2.0.7306.1023	2008.08.09	-
Ikarus	T3.1.1.34.0	2008.08.09	BAT.AutoDelete.A
K7AntiVirus	7.10.408	2008.08.09	not-a-virus:FraudTool.Win32.MalwareProtector.d
Kaspersky	7.0.0.125	2008.08.09	not-a-virus:FraudTool.Win32.MalwareProtector.d
McAfee	5357	2008.08.08	FakeAlert-AQ
Microsoft	1.3807	2008.08.09	Trojan:Win32/XPAntiVirus.C
NOD32v2	3341	2008.08.08	Win32/TrojanDownloader.FakeAlert.FK
Norman	5.80.02	2008.08.08	W32/WinFixer.CBQ
Panda	9.0.0.4	2008.08.09	Application/AntivirusXP2008
PCTools	4.4.2.0	2008.08.09	RogueAntiSpyware.AntivirusXP2008
Prevx1	V2	2008.08.09	Cloaked Malware
Rising	20.56.41.00	2008.08.08	Trojan.Win32.Undef.ive
Sophos	4.32.0	2008.08.09	Troj/FakeAle-ES
Sunbelt	3.1.1538.1	2008.08.09	-
Symantec	10	2008.08.09	XPAntivirus
TheHacker	6.2.96.395	2008.08.08	-
TrendMicro	8.700.0.1004	2008.08.08	TROJ_FAKEALER.HO
VBA32	3.12.8.3	2008.08.09	-
ViRobot	2008.8.8.1329	2008.08.08	-
VirusBuster	4.5.11.0	2008.08.09	-
Webwasher-Gateway	6.6.2	2008.08.09	Trojan.Dldr.FraudLoa.NC
weitere Informationen
File size: 94208 bytes
MD5...: bbc8fa3899a801ce9ea1f77bcc161662
SHA1..: eefa3e03424239ec0b53006336f2f9714434aa1a
SHA256: c8050919cffaf4018875b4980cbb1eb0c717fa00f98afcbd99f245694b6afff6
SHA512: e0f92e768b704ddc6b834655624a34bad1d17b43da4710138cf905fe344f65b8
3872ca9a2dd54dc34b4fdc68720176a33caac602a415e01fa142bbd62024e1c1
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x406df5
timedatestamp.....: 0x489c5376 (Fri Aug 08 14:08:54 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xda92 0xe000 6.56 36c45dcede157a764a7b5959a20fc4bf
.rdata 0xf000 0x2df4 0x3000 4.87 901149a62bb2def63a4308ba01db3b69
.data 0x12000 0x2ac0 0x2000 2.17 9a5b1b0544a0ba83777a36cb94f62677
.tls 0x15000 0x7 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x16000 0x1e20 0x2000 5.42 c257661d6c95eb7c3b5231af545a237d

( 5 imports )
> KERNEL32.dll: WaitForSingleObject, CreateMutexA, Sleep, TerminateProcess, GetTickCount, FindFirstFileA, FindClose, GetTempPathA, lstrcpyA, CreateFileA, WriteFile, CloseHandle, lstrcatA, GetModuleFileNameA, GetEnvironmentVariableA, GetDriveTypeA, GetVolumeInformationA, HeapAlloc, HeapFree, UnmapViewOfFile, OpenFileMappingA, MapViewOfFile, GetModuleHandleA, GetLastError, LoadLibraryA, GetProcAddress, SetStdHandle, GetOEMCP, IsBadCodePtr, IsBadReadPtr, FindResourceA, GetCurrentProcess, SizeofResource, LockResource, LoadResource, DeleteCriticalSection, InitializeCriticalSection, RaiseException, lstrlenW, WideCharToMultiByte, MultiByteToWideChar, GetVersionExA, GetACP, GetLocaleInfoA, GetThreadLocale, InterlockedExchange, lstrlenA, InterlockedDecrement, GetStringTypeW, GetStringTypeA, GetSystemInfo, VirtualProtect, GetCurrentProcessId, QueryPerformanceCounter, SetUnhandledExceptionFilter, VirtualQuery, GetFileType, SetHandleCount, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, UnhandledExceptionFilter, LocalFree, EnterCriticalSection, LeaveCriticalSection, InterlockedIncrement, GetSystemTimeAsFileTime, GetStartupInfoA, GetCommandLineA, RtlUnwind, ExitProcess, HeapReAlloc, LCMapStringA, LCMapStringW, GetCPInfo, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, IsBadWritePtr, HeapSize, TlsAlloc, SetLastError, GetCurrentThreadId, TlsFree, TlsSetValue, TlsGetValue, SetFilePointer, FlushFileBuffers, GetStdHandle
> ADVAPI32.dll: RegSetValueExA, RegQueryValueExA, RegOpenKeyExA, RegCloseKey
> SHELL32.dll: ShellExecuteA
> ole32.dll: OleRun, CoInitialize, CoCreateInstance
> OLEAUT32.dll: -, -, -, -, -, -, -, -

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=80A554FC00389FB1701801BECADF06008DCBE955

Wenn ich die Datei: C:\WINDOWS\system32\kduuu.exe analysieren wollten, kam folgendes: '0 bytes size received / Se ha recibido un archivo vacio'

Code:

ATTFilter

Datei iexplorer.exe 

Ergebnis: 8/36 (22.23%)
Antivirus  	Version  	letzte aktualisierung  	Ergebnis
AhnLab-V3	2008.8.9.0	2008.08.08	-
AntiVir	7.8.1.19	2008.08.09	DR/Delphi.Gen
Authentium	5.1.0.4	2008.08.09	-
Avast	4.8.1195.0	2008.08.08	-
AVG	8.0.0.156	2008.08.09	Win32/Heur
BitDefender	7.2	2008.08.09	-
CAT-QuickHeal	9.50	2008.08.08	-
ClamAV	0.93.1	2008.08.09	-
DrWeb	4.44.0.09170	2008.08.09	Trojan.MulDrop.18267
eSafe	7.0.17.0	2008.08.07	-
eTrust-Vet	31.6.6021	2008.08.08	-
Ewido	4.0	2008.08.09	-
F-Prot	4.4.4.56	2008.08.08	-
F-Secure	7.60.13501.0	2008.08.09	-
Fortinet	3.14.0.0	2008.08.09	-
GData	2.0.7306.1023	2008.08.09	-
Ikarus	T3.1.1.34.0	2008.08.09	Downloader.Delphi
K7AntiVirus	7.10.408	2008.08.09	-
Kaspersky	7.0.0.125	2008.08.09	-
McAfee	5357	2008.08.08	-
Microsoft	1.3807	2008.08.09	VirTool:Win32/DelfInject.gen!AM
NOD32v2	3341	2008.08.08	a variant of Win32/Injector.CA
Norman	5.80.02	2008.08.08	-
Panda	9.0.0.4	2008.08.09	-
PCTools	4.4.2.0	2008.08.09	-
Prevx1	V2	2008.08.09	Malicious Software
Rising	20.56.41.00	2008.08.08	-
Sophos	4.32.0	2008.08.09	-
Sunbelt	3.1.1538.1	2008.08.09	-
Symantec	10	2008.08.09	-
TheHacker	6.2.96.395	2008.08.08	-
TrendMicro	8.700.0.1004	2008.08.08	-
VBA32	3.12.8.3	2008.08.09	-
ViRobot	2008.8.8.1329	2008.08.08	-
VirusBuster	4.5.11.0	2008.08.09	-
Webwasher-Gateway	6.6.2	2008.08.09	Trojan.Dropper.Delphi.Gen
weitere Informationen
File size: 29696 bytes
MD5...: 157f604376aea90af48082e229d4c55e
SHA1..: 0149a9eb3b0d33dad05dedf28c3059889cd6c73b
SHA256: 415d7042d3f70fa0302aa0cc77339eb1639ce6523c4afdc98c11f3db70c0277d
SHA512: bdbc738b8fbcd87443fbfb5856d668b4a04b653177538b4c6ecf847bed3725a6
e8321a03cd1cb99a6050fbcf0c056d9d2eb3d211c82961df3ec9e0961e5fcf39
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x202240
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 8 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x1450 0x1600 6.06 50ba97808b11a1e182a5f47780b3c326
DATA 0x3000 0x5078 0x5200 7.95 579b274f46e6270e7fa4a62d2496a7b5
BSS 0x9000 0x255 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0xa000 0x200 0x200 4.04 817c381c774fb84001e980b9a0df6325
.tls 0xb000 0x4 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0xc000 0x18 0x200 0.20 3513355d908e1e90946c81cd71f650b6
.reloc 0xd000 0x1c0 0x200 5.54 ded59fef6b2dc016d5adec27aca97b3b
.rsrc 0xe000 0x78 0x200 0.40 09a545128d00c99d8241e48b9a5d2fe2

( 4 imports )
> kernel32.dll: GetCurrentThreadId, ExitProcess, RtlUnwind, RaiseException, GetCommandLineA, TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA, FreeLibrary, HeapFree, HeapReAlloc, HeapAlloc, GetProcessHeap
> kernel32.dll: LoadLibraryA, GetProcAddress
> gdi32.dll: SetTextColor
> user32.dll: GetDC

( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=AA1A930A00000AC074D500946925EC000A336375

Malwarebytes Log

Code:

ATTFilter

Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1034
Windows 5.1.2600 Service Pack 2

20:07:25 09.08.2008
mbam-log-8-9-2008 (20-07-25).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|)
Durchsuchte Objekte: 214473
Laufzeit: 1 hour(s), 11 minute(s), 0 second(s)

Infizierte Speicherprozesse: 5
Infizierte Speichermodule: 4
Infizierte Registrierungsschlüssel: 4
Infizierte Registrierungswerte: 9
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 12
Infizierte Dateien: 26

Infizierte Speicherprozesse:
C:\Programme\rhcgsej0e93w\rhcgsej0e93w.exe (Rogue.Multiple) -> Unloaded process successfully.
C:\WINDOWS\msauc.exe (Trojan.Agent) -> Unloaded process successfully.
C:\WINDOWS\system32\lphclsej0e93w.exe (Trojan.FakeAlert) -> Unloaded process successfully.
C:\WINDOWS\system32\pphclsej0e93w.exe (Trojan.FakeAlert) -> Unloaded process successfully.
C:\WINDOWS\system32\drivers\svchost.exe (Heuristics.Reserved.Word.Exploit) -> Unloaded process successfully.

Infizierte Speichermodule:
C:\Programme\rhcgsej0e93w\msvcp71.dll (Rogue.Multiple) -> Delete on reboot.
C:\Programme\rhcgsej0e93w\MFC71.dll (Rogue.Multiple) -> Delete on reboot.
C:\Programme\rhcgsej0e93w\msvcr71.dll (Rogue.Multiple) -> Delete on reboot.
C:\WINDOWS\system32\blphclsej0e93w.scr (Trojan.FakeAlert) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\rhcgsej0e93w (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\rhcgsej0e93w (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.Trymedia) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Software Notifier (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\smrhcgsej0e93w (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\iexplorer (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lsass driver (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\lphclsej0e93w (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\wallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\originalwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\convertedwallpaper (Hijack.Wallpaper) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\Desktop\scrnsave.exe (Hijack.Wallpaper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System (Rootkit.DNSChanger) -> Data: kduuu.exe -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispBackgroundPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\NoDispScrSavPage (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\rhcgsej0e93w (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\rhcgsej0e93w (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\rhcgsej0e93w\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\rhcgsej0e93w\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\rhcgsej0e93w\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\rhcgsej0e93w\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\rhcgsej0e93w\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\rhcgsej0e93w\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\rhcgsej0e93w\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\rhcgsej0e93w\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\rhcgsej0e93w\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\rhcgsej0e93w\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\WINDOWS\system32\kduuu.exe (Rootkit.DNSChanger) -> Delete on reboot.
C:\WINDOWS\system32\wpx11.cpx (Trojan.Agent) -> Quarantined and deleted successfully.
D:\Programme\The KMPlayer\KIconLib.dll (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Programme\rhcgsej0e93w\rhcgsej0e93w.exe (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\rhcgsej0e93w\database.dat (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\rhcgsej0e93w\msvcp71.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\rhcgsej0e93w\MFC71.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\rhcgsej0e93w\MFC71ENU.DLL (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\rhcgsej0e93w\msvcr71.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\rhcgsej0e93w\license.txt (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\rhcgsej0e93w\rhcgsej0e93w.exe.local (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Programme\rhcgsej0e93w\Uninstall.exe (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\iexplorer.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\msauc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\wpx12.cpx (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lich.dat (Stolen.Data) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\phclsej0e93w.bmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lphclsej0e93w.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\blphclsej0e93w.scr (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\pphclsej0e93w.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Desktop\Antivirus XP 2008.lnk (Rogue.Antivirus) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxx\Anwendungsdaten\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.Antivirus2008) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\.tt1.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\.tt7.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Temp\.ttD.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

cosinus · 10.08.2008, 13:47

Zitat:

C:\WINDOWS\system32\kduuu.exe (Rootkit.DNSChanger) -> Delete on reboot.
C:\WINDOWS\system32\wpx11.cpx (Trojan.Agent) -> Quarantined and deleted successfully.
D:\Programme\The KMPlayer\KIconLib.dll (Backdoor.Bot) -> Quarantined and deleted successfully.

Sry, aber ich fürchte Du wirst Dein System neu aufsetzen müssen, da MBAW Schädlinge mit Backdooreigenschaften entlarvt hat. Dein System ist außer Kontrolle geraten, andere haben Vollzugriff durch die Backdoors.

Bevor Du Deine Platte formatierst und Windows neu installierst, solltest Du aber noch mal mit mit diesem Tool den MBR auf Befall überprüfen. Poste die Ausgabe.

amundson · 17.08.2008, 14:55

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA

[/edit]

neri86 · 24.08.2008, 14:25

So, nach meinem Urlaub hab ich das jetzt gemacht

Code:

ATTFilter

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Neu aufsetzen...puh okay. Ich habe meine Daten jetzt komplett auf meiner externen Festplatte gesichert.
Ich habe keine Windows-CD. Ich glaube, die war bei mir nicht dabei. Ich habe aber nachdem ich meinen Pc gekauft hatte, auf Anraten ein Backup gemacht und es auf eine CD gebrannt. Kann ich diese CD dann benutzen? Ich hab sowas noch nie gemacht.

cosinus · 24.08.2008, 14:28

Zitat:

Zitat von neri86

Kann ich diese CD dann benutzen? Ich hab sowas noch nie gemacht.

Das sollte ne sog. Recovery-CD sein, ja die kannst Du benutzen. Was sagt das Handbuch zum Computer denn dazu?

neri86 · 24.08.2008, 15:15

Wenn es das jetzt ist, steht da folgendes:

Wiederherstellung mit Sicherheitskopie
Anwender können eine zuvor (wie unter Anfertigung von Sicherungskopie
beschrieben) erstellte Sicherungskopie zur Wiederherstellung von Festplatte,
CD oder DVD aus verwenden.
1 Starten Sie Windows XP.
2 Drücken Sie die Tastenkombination <Alt> + <F10>, um das Programm
Acer eRecovery Management zu öffnen.
3 Geben Sie das Kennwort ein, um fortzufahren.
4 Wählen Sie im Acer eRecovery Management-Fenster Recovery actions und
klicken Sie auf Next.
5 Wählen Sie die gewünschte Wiederherstellungsaktion und folgen Sie den
Anweisungen auf dem Bildschirm, um die Wiederherstellung
durchzuführen.

Eine Windows CD war definitiv nicht dabei, ich hab alles nochmal durchgeschaut.

cosinus · 24.08.2008, 17:03

Das ist Acer. Zum K..en ist das, ich kenn das, bei meinem Notebook von Acer war auch keine Windows-CD dabei. Der Anwender muß optimalerweise schon beim ersten Einschalten eine Recovery-DVD brennen, sonst ist es so ziemlich essig mit dem Neuaufsetzen.

Wenn das mit dem Brennen der Recovery-CD bei Dir nicht klappt, wirst DU Dir notfall eine Windows-CD von nem Nachbarn oder so ausleihen müssen.

neri86 · 24.08.2008, 17:38

Okay. Danke für die Hilfe schon mal =)

Eine Frage habe ich noch; Ich werde das jetzt erstmal mit dieser Sicherheitskopie versuchen. Ich hab sie, glaube ich, gleich am ersten Tag gemacht.

Geh ich dann nach der Anleitung im Handbuch oder nach der hier im Forum (oder eben zu der Seite, wo der Link hinführt)?

cosinus · 24.08.2008, 18:11

Zitat:

Zitat von neri86

Geh ich dann nach der Anleitung im Handbuch oder nach der hier im Forum (oder eben zu der Seite, wo der Link hinführt)?

Nach der im Handbuch, m.E. ist die Anleitung hier im Forum für normale Windows-CD'.

neri86 · 27.08.2008, 10:09

So, ich habe das dann jetzt gemacht und das System wieder hergestellt.

Jetzt wurde nur C: gemacht, D: ist geblieben, wie es war...

Gibt es sonst noch etwas zutun? Außer die Sachen, die in dem Thread zur Neuaufsetzung stehen?

cosinus · 27.08.2008, 16:22

Eigentlich nicht. Die Programme etc. und so installieren sollte Dir klar sein.
Sind schon alle relevanten Updates drauf? Sprich mindestens das SP2 für WinXP, vorher solltest Du nicht ins Internet.

Auf der D-Partition, sind dort noch ausführbar Dateien oder nur reine Datendateien wie Musik, Videos und so?

neri86 · 27.08.2008, 17:12

Ja, ich habe gleich das SP3 installiert und all die Schritte befolgt, die in dem Thread stehen.

Auf D sind Hauptsächlich Bilder, Musik etc. ja. Ich wüsste auch irgendwie nicht, wie ich diese Partition jetzt komplett löschen könnte oder so. Weil über die CD geht es ja nicht.

cosinus · 27.08.2008, 17:15

Die Datenpartition mußt Du janicht löschen, nur evtl auf ihr enthaltene ausführbaren Dateien löschen.

27.08.2008, 17:15	#15
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Plötzlich Antivirus und blauer Desktop mit Fehlermeldung Die Datenpartition mußt Du janicht löschen, nur evtl auf ihr enthaltene ausführbaren Dateien löschen. __________________ Logfiles bitte immer in CODE-Tags posten

Plötzlich Antivirus und blauer Desktop mit Fehlermeldung

Plagegeister aller Art und deren Bekämpfung: Plötzlich Antivirus und blauer Desktop mit Fehlermeldung