Hier nochmal nach Löschung TR/Hijacker.gen

Powerpack · 12.07.2008, 15:06

So hier mal das Ergebnis von Malwarebytes

Rechner neu gestartet und Antivir spricht wieder auf

C:\Windows\system32\32202522361.CPX an ???

Malwarebytes' Anti-Malware 1.19
Datenbank Version: 912
Windows 5.1.2600 Service Pack 2

16:33:41 2008-07-12
mbam-log-7-12-2008 (16-33-41).txt

Scan Art: Komplett Scan (C:\|D:\|)
Objekte gescannt: 84349
Scan Dauer: 7 minute(s), 42 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine Malware Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi2 (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\322025223621.CPX (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\322025223612.CPX (Trojan.Agent) -> Quarantined and deleted successfully.

Powerpack · 12.07.2008, 16:10

So und hier mal noch das Logfile von Runscanner

Runscanner logfile http://www.runscanner.net

* = signed file
- = file not found

000 General info
----------------
Computer name : ACER-3E334666C0
Creation time : 2008-07-12 17:07:01
Hosts <> 127.0.0.1 : 0
Hosts file location : %SystemRoot%\System32\drivers\etc
IE version : 6.0.2900.2180
OS : Microsoft Windows XP
OS Build : 2600
OS SP : Service Pack 2
RunScanner Version : 1.6.3.0
User Language : Deutsch (Deutschland)
User rights : Administrator
Windows folder : C:\WINDOWS

001 Running processes
---------------------
c:\programme\hp\digital imaging\bin\hpqgalry.exe (Hewlett-Packard Co.)
c:\programme\acer\acer econsole\mediaserverservice.exe (Acer Inc.)
c:\programme\antivir personaledition classic\avguard.exe (Avira GmbH)
c:\programme\antivir personaledition classic\sched.exe (Avira GmbH)
c:\programme\antivir personaledition classic\avgnt.exe (Avira GmbH)
* c:\windows\system32\services.exe (Microsoft Corporation)
* c:\windows\system32\alg.exe (Microsoft Corporation)
* c:\windows\system32\ati2evxx.exe (ATI Technologies Inc.)
* c:\windows\system32\ati2evxx.exe (ATI Technologies Inc.)
* c:\windows\system32\csrss.exe (Microsoft Corporation)
* c:\windows\system32\ctfmon.exe (Microsoft Corporation)
c:\programme\mozilla firefox\firefox.exe (Mozilla Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
* c:\windows\system32\svchost.exe (Microsoft Corporation)
c:\programme\hp\digital imaging\bin\hpqtra08.exe (Hewlett-Packard Co.)
c:\programme\hp\hp software update\hpwuschd2.exe (Hewlett-Packard Company)
* c:\programme\ipod\bin\ipodservice.exe (Apple Computer, Inc.)
* c:\programme\itunes\ituneshelper.exe (Apple Computer, Inc.)
c:\programme\java\jre1.5.0_05\bin\jusched.exe (Sun Microsystems, Inc.)
c:\programme\java\jre1.5.0_05\bin\jucheck.exe (Sun Microsystems, Inc.)
* c:\windows\system32\lsass.exe (Microsoft Corporation)
c:\programme\gemeinsame dateien\microsoft shared\vs7debug\mdm.exe (Microsoft Corporation)
c:\programme\acer\acer econsole\mediasync.exe (Acer Inc.)
c:\acer\empowering technology\erecovery\monitor.exe (acer Inc.)
c:\programme\cyberlink\powerdvd\pdvdserv.exe (Cyberlink Corp.)
c:\programme\quicktime\qttask.exe (Apple Computer, Inc.)
* c:\windows\soundman.exe (Realtek Semiconductor Corp.)
* c:\dokume~1\privat\lokale~1\temp\temporäres verzeichnis 1 für runscanner.zip\runscanner.exe (Runscanner.net)
* c:\windows\system32\spoolsv.exe (Microsoft Corporation)
c:\programme\acer\acer emode management\aspireservice.exe (Acer Inc.)
c:\programme\winamp\winampa.exe
* c:\windows\explorer.exe (Microsoft Corporation)
* c:\windows\system32\winlogon.exe (Microsoft Corporation)
* c:\windows\system32\smss.exe (Microsoft Corporation)
* c:\windows\system32\wuauclt.exe (Microsoft Corporation)
* c:\windows\system32\msiexec.exe (Microsoft Corporation)
c:\programme\zyxel technology corporation\zyair g-220 utility\zdwlan.exe

002 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run (+subkeys)
-----------------------------------------------------------------
c:\programme\acer\acer emode management\aspireservice.exe (Acer Inc.)
c:\programme\antivir personaledition classic\avgnt.exe (Avira GmbH)
c:\acer\empowering technology\erecovery\monitor.exe (acer Inc.)
c:\programme\hp\hp software update\hpwuschd2.exe (Hewlett-Packard Company)
C:\WINDOWS\alaunch.exe (Acer Inc.)
c:\programme\acer\acer econsole\mediasync.exe (Acer Inc.)
c:\programme\newtech infosystems\nti cd & dvd-maker 7\ntimui.exe
c:\programme\quicktime\qttask.exe (Apple Computer, Inc.)
c:\programme\cyberlink\powerdvd\pdvdserv.exe (Cyberlink Corp.)
c:\programme\java\jre1.5.0_05\bin\jusched.exe (Sun Microsystems, Inc.)
c:\programme\winamp\winampa.exe

005 C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
--------------------------------------------------------------------------
c:\progra~1\adobe\acroba~1.0\reader\reader~1.exe (Adobe Systems Incorporated)
c:\progra~1\hp\digita~1\bin\hpqtra08.exe (Hewlett-Packard Co.)
c:\progra~1\hp\digita~1\bin\hpqthb08.exe (Hewlett-Packard Co.)
c:\progra~1\zyxelt~1\zyairg~1\zdwlan.exe

010 HKLM\SYSTEM\CurrentControlSet\Services (Services)
-----------------------------------------------------
c:\programme\acer\acer econsole\mediaserverservice.exe (Acer Media Server)
c:\programme\antivir personaledition classic\avguard.exe (AntiVir PersonalEdition Classic Guard)
c:\programme\antivir personaledition classic\sched.exe (AntiVir PersonalEdition Classic Planer)
C:\WINDOWS\microsoft.net\framework\v1.1.4322\aspnet_state.exe (ASP.NET-Statusdienst)
- c:\programme\gemeinsame dateien\avm\de_serv.exe (AVM FRITZ!web Routing Service)
c:\programme\gemeinsame dateien\microsoft shared\vs7debug\mdm.exe (Machine Debug Manager)
c:\windows\system32\hpzipm12.exe (Pml Driver HPZ12)

011 HKLM\SYSTEM\CurrentControlSet\Services (drivers)
----------------------------------------------------
c:\windows\system32\drivers\acedrv06.sys (ACEDRV06)
* c:\programme\antivir personaledition classic\avgio.sys (avgio)
* c:\programme\antivir personaledition classic\avgntflt.sys (avgntflt)
- c:\windows\system32\drivers\changer.sys (Changer)
- c:\windows\system32\drivers\i2omgmt.sys (i2omgmt)
c:\acer\empowering technology\erecovery\int15.sys (int15.sys)
- c:\windows\system32\drivers\lbrtfdc.sys (lbrtfdc)
- c:\windows\system32\drivers\pcidump.sys (PCIDump)
- c:\windows\system32\drivers\pdcomp.sys (PDCOMP)
- c:\windows\system32\drivers\pdframe.sys (PDFRAME)
- c:\windows\system32\drivers\pdreli.sys (PDRELI)
- c:\windows\system32\drivers\pdrframe.sys (PDRFRAME)
C:\WINDOWS\system32\drivers\afc.sys (PPdus ASPI Shell)
C:\WINDOWS\system32\drivers\pxhelp20.sys (PxHelp20)
c:\windows\system32\drivers\sshdrv86.sys (SSHDRV86)
c:\windows\system32\drivers\ubhelper.sys (UBHelper)
C:\WINDOWS\system32\drivers\ntidrvr.sys (Upper Class Filter Driver)
- c:\windows\system32\drivers\wdica.sys (WDICA)
c:\windows\system32\zdpndis5.sys (ZDPNDIS5 NDIS Protocol Driver)

030 HKLM\SOFTWARE\Classes\PROTOCOLS\Filter
------------------------------------------
c:\windows\system32\mscoree.dll (Microsoft Corporation) {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
c:\windows\system32\mscoree.dll (Microsoft Corporation) {1E66F26B-79EE-11D2-8710-00C04F79ED0D}
c:\windows\system32\mscoree.dll (Microsoft Corporation) {1E66F26B-79EE-11D2-8710-00C04F79ED0D}

031 HKLM\SOFTWARE\Classes\PROTOCOLS\Handler
-------------------------------------------
c:\programme\gemeinsame dateien\system\ole db\msdaipp.dll (Microsoft Corporation) {E1D2BF42-A96B-11d1-9C6B-0000F875AC61}
c:\programme\gemeinsame dateien\system\ole db\msdaipp.dll (Microsoft Corporation) {E1D2BF42-A96B-11d1-9C6B-0000F875AC61}
c:\programme\gemeinsame dateien\microsoft shared\web folders\pkmcdo.dll (Microsoft Corporation) {CD00020A-8B95-11D1-82DB-00C04FB1625D}
c:\programme\gemeinsame dateien\microsoft shared\information retrieval\msitss.dll (Microsoft Corporation) {0A9007C0-4076-11D3-8789-0000F8105754}
c:\programme\gemeinsame dateien\system\ole db\msdaipp.dll (Microsoft Corporation) {E1D2BF40-A96B-11d1-9C6B-0000F875AC61}

035 HKLM-HKCU\SOFTWARE\Microsoft\Active Setup\Installed Components
------------------------------------------------------------------
c:\windows\system32\mscories.dll (Microsoft Corporation) {89B4C1CD-B018-4511-B0A1-5476DBF70820}

042 HKLM\Software\Microsoft\Internet Explorer\Extensions
--------------------------------------------------------
- c:\programme\partygaming\partypoker\runapp.exe {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}

043 HKCU\Software\Microsoft\Internet Explorer\Extensions
--------------------------------------------------------
c:\programme\xp-antispy\sponsoring\sponsor.html {0e921e80-267a-42aa-aee4-60b9a1222a44}

047 Trusted zones
-----------------
Zone: fritz.box : *.fritz.box

061 HKLM-HCKU\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved
---------------------------------------------------------------------------------
- deskpan.dll {42071714-76d4-11d1-8b24-00a0c9068ff3}
c:\windows\system32\mscoree.dll (Microsoft Corporation) {1D2680C9-0E2A-469d-B787-065558BC7D43}
c:\programme\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
c:\progra~1\gemein~1\micros~1\webfol~1\msonsext.dll (Microsoft Corporation) {BDEADF00-C265-11D0-BCED-00A0C90AB50F}

062 HKLM-HKCU\Software\Classes\Folder\Shellex\ColumnHandlers
------------------------------------------------------------
c:\programme\adobe\acrobat 7.0\activex\pdfshell.dll (Adobe Systems, Inc.) {F9DB5320-233E-11D1-9F84-707F02C10627}

073 %windir%\Tasks
------------------
HPpromotions journeysoftware.job : c:\programme\hp\digital imaging\bin\hp promotions\journeysoftware\hppromo.exe (hp)

104 HKLM\Software\Microsoft\Code Store Database\Distribution Units
------------------------------------------------------------------
c:\windows\opuc.dll (Microsoft Corporation) {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE}
c:\programme\java\jre1.5.0_05\bin\npjpi150_05.dll (Sun Microsystems, Inc.) {8AD9C840-044E-11D1-B3E9-00805F499D93}
c:\programme\java\jre1.5.0_05\bin\npjpi150_05.dll (Sun Microsystems, Inc.) {CAFEEFAC-0015-0000-0005-ABCDEFFEDCBA}

105 HKCU\Software\Microsoft\Internet Explorer\MenuExt
-----------------------------------------------------
Nach Microsoft &Excel exportieren : res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

147 HKLM\System\CurrentControlSet\Control\SecurityProviders\SecurityProviders
-----------------------------------------------------------------------------
- ntoskrnl.dll

173 HKCR\*\shellex\ContextMenuHandlers
--------------------------------------
GUID / CLSID not found
c:\programme\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}

221 HKLM\Software\Classes\*\ShellEx\ContextMenuHandlers
-------------------------------------------------------
GUID / CLSID not found
c:\programme\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}

223 HKLM\Software\Classes\AllFileSystemObjects\ShellEx\ContextMenuHandlers
--------------------------------------------------------------------------
* c:\programme\malwarebytes' anti-malware\mbamext.dll (Malwarebytes) {57CE581A-0CB6-4266-9CA0-19364C90A0B3}

225 HKCU\Software\Classes\Folder\ShellEx\ContextMenuHandlers
------------------------------------------------------------
* c:\programme\malwarebytes' anti-malware\mbamext.dll (Malwarebytes) {57CE581A-0CB6-4266-9CA0-19364C90A0B3}
* c:\programme\malwarebytes' anti-malware\mbamext.dll (Malwarebytes) {57CE581A-0CB6-4266-9CA0-19364C90A0B3}
c:\programme\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}
c:\programme\antivir personaledition classic\shlext.dll (Avira GmbH) {45AC2688-0253-4ED8-97DE-B5370FA7D48A}

227 HKLM\Software\Classes\Directory\ShellEx\ContextMenuHandlers
---------------------------------------------------------------
GUID / CLSID not found

231 HKLM\Software\Classes\Folder\Shellex\ColumnHandlers
-------------------------------------------------------
c:\programme\adobe\acrobat 7.0\activex\pdfshell.dll (Adobe Systems, Inc.) PDF Column Info

trojan-death · 13.07.2008, 11:08

Zitat:

Zitat von Powerpack

Rechner neu gestartet und Antivir spricht wieder auf
C:\Windows\system32\32202522361.CPX an ???

Was heisst hier wieder??
Bitte hol dir das Tool The Avenger (Signatur)
Lade es auf den Desktop und starte es. Nun gibst du im weissen Feld folgenden Text ein:

Zitat:

files to delete:
C:\Windows\system32\32202522361.CPX

Drückst execute und lässt dann wenn du gefragt wirst unverzüglich Neustarten und postest den Inhalt der C:\Avenger text Datei

Powerpack · 17.07.2008, 20:29

Hallo Trojan Death,

das funktioniert irgendwie nicht so wie gedacht.

The Avenger gibt als Antwort immer:

Error: Invalid Script. A velid Script musst begin with a command directive.

Aborting Execution

Keine Ahnung was der von mir will.

Langsam krieg ich echt zuviel davon.
Die Dateien finde ich komischerweise auch nicht mehr im Explorer, trotzdem geht das geheule von Antivir weiter.

Vorallem was ist das hier? Das meldet mir Malwarebytes im Logfile

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi2

trojan-death · 18.07.2008, 10:51

Zitat:

Zitat von Powerpack

Hallo Trojan Death,
das funktioniert irgendwie nicht so wie gedacht.
The Avenger gibt als Antwort immer:
Error: Invalid Script. A velid Script musst begin with a command directive.
Aborting Execution
Keine Ahnung was der von mir will.
Langsam krieg ich echt zuviel davon.

Hast du mein Textfeld mit copy/paste eingefügt?? Versuchs nochmal

Die Fehlermeldung meint mein eingegebenes Script sei falsch, was auf keinen Fall so ist

Zitat:

Zitat von Powerpack

Die Dateien finde ich komischerweise auch nicht mehr im Explorer, trotzdem geht das geheule von Antivir weiter.

Welche Dateien findest du nicht?
Welches geheule? Was bringt er für eine Meldung?
Ist es wieder diese hier?:

Zitat:

C:\Windows\system32\32202522361.CPX

Zitat:

Zitat von Powerpack

Vorallem was ist das hier? Das meldet mir Malwarebytes im Logfile
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi2

Was meinst du damit?
Das ist/war ein infizierter Registrierungswert.

Wenn das mit The Avenger wirklich nicht funzt, dann hol dir KillBox und löscht die Datei damit:aplaus: Dass ganze "on reboot" wie in der Anleitung beschrieben.

Nun holst du dir auf jeden Fall das Tool SmitfraudFix, machst genau die Anleitung durch (ich würde sie ausdrucken

) und postest dann den Inhalt der C:\rapport.txt Datei

Beachte dabei das du Wächter und Firewall abschalten solltest da das Programm oftmals als Malware eingestuft wird.

Hier nochmal nach Löschung TR/Hijacker.gen

Plagegeister aller Art und deren Bekämpfung: Hier nochmal nach Löschung TR/Hijacker.gen