Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Frage zu diesem widerlichen "XP Antivirus 2008"

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 26.08.2008, 04:53   #1
danr
 
Frage zu diesem widerlichen "XP Antivirus 2008" - Standard

Frage zu diesem widerlichen "XP Antivirus 2008"



Hallo, ihr!

Auch ich habe Bekanntschaft mit der bösartigen Software mit dem betrügerischen Namen "XP Antivirus 2008" gemacht, die bereits hier in diesem Board und in englischsprachigen Boards noch viel mehr diskutiert wurde.

Zum Äußersten ist es nicht gekommen, will sagen: Wann immer das Popup kommt, das mich zum arglosen Installieren einladen will, konnte ich es bisher entweder sofort wegdrücken, oder aber ich habe es mit dem Task Manager abgeschossen.

Installiert habe ich nichts und finde folglich auch diese Software nicht. Da ich häufig den Gesamtspeicherplatz kontrolliere und auch Systemverzeichnisse durchsehe (bin ein vorsichtiger Benutzer und hatte mir in zehn Jahren Internet noch nie etwas gefangen - jedenfalls nie länger als für ein paar Minuten), kann ich auch sagen, dass dort nicht "umgegraben" wurde.

Trotzdem muss sich ja irgendetwas Fremdes auf der Platte meines Notebooks befinden, denn sonst würde ja nicht einmal pro Internet Session das Popup kommen und mich locken. Merkwürdig kommt mir eine DAT-Datei mit der ID __c00BCCC8 vor. Die wurde am 20.8 in den Ordner system32 gesetzt, steht da so rum, lässt sich nicht löschen, nicht umbenennen und nicht verschieben. Hat einer eine Idee, ob das vielleicht so eine "Schurkendatei" ist? Wobei ich aber dazu sagen müssen, die Popups kommen erst seit dem 24, nicht schon seit dem 20. . ..

Hat denn schon jemand von euch herausgefunden, welche Dateien im Spiel sind und welcher Prozess das Popup aufruft?

Ach ja: Mein Betriebssystem ist Windows XP, gesurft hatte ich mit dem Internet Explorer, was ein Fehler war. Noch weniger stolz bin ich auf die Tatsache, dass ich beim Aufräumen versehentlich die mrt.exe (Datei zum Entfernen bösartiger Software) vermüllt habe. Die hätte ich eventuell noch gebrauchen können.

Ach, noch was: Man fängt sich dieses Teil offenbar beim Dekomprimieren von aus dem Internet geladenen codec-Videodaten, die defekt sind. Stand so auf einer über news.google.de gefundenen Seite und kann auch gut stimmen, denn genau danach begann der Stress für mich, als sich ein rar-file nämlich nicht entpacken ließ.


Herzliche Grüße

Daniel, schlaflos im Rheinland

Alt 26.08.2008, 07:46   #2
danr
 
Frage zu diesem widerlichen "XP Antivirus 2008" - Standard

Frage zu diesem widerlichen "XP Antivirus 2008"



So, ich habe für meinen Fall mal eine Systemherstellung durchgeführt und bin, was meine Systemdateien angeht, jetzt einen guten Monat in der Vergangenheit.
Sieht auch wirklich sauberer aus, auch die Performance ist wieder deutlich besser (ich hatte mir ja eingeredet, die Langsamkeit könne auch andere Gründe habe), meine MRT.exe habe ich so auch wieder bekommen, und ich konnte eben 45 Minuten störungsfrei probesurfen. Das heißt nicht definitiv, dass es ausgestanden ist. Ich halte euch auf dem Laufenden und werde mich hier nun eh häufiger informieren und, wenn ich etwas weiß, Informationen beisteuern.

Herzliche Grüße

Daniel
__________________


Alt 26.08.2008, 07:49   #3
Chris4You
 
Frage zu diesem widerlichen "XP Antivirus 2008" - Standard

Frage zu diesem widerlichen "XP Antivirus 2008"



Hi,

es gibt viele Möglichkeiten sich etwas einzufangen,

DriveByDownload: Auf einer regulären Seite wird von den Hackern ein paar Sicherheitslöcher ausgenutzt und Schadsoftware indiziert, die dann wiederum den User auf verseuchte Seiten umlenkt die den Browser identifizieren und dann versuchen unter Ausnutzung von weiteren Sicherheitslücken unerkannt was unterzuschieben... Wenn das "gut" gemacht ist, merkt der User gar nichts...

Bufferüberlauf:
Der User wird verleitet irgendetwas installieren/entpacken/ansehen zu wollen, das eine Sicherheitslücke ausnutzt (Bufferüberlauf) und dann eigenen Schadecode ausführt... Das war bei Dir der Fall.

Meist wird zuerst ein Agent untergeschoben, der die eigentlichen Komponenten nachlädt...

Du solltest daher auf jeden Fall noch einen Fullscan mit MAM machen, welche Antiviren-SW setzt Du ein?

Ein HJ-Log zum nachschauen wäre auch nicht schlecht...

Noch eine Anmerkung:
Selber auf der Platte nachzuschauen ist schon mal gut, allerdings gibt es Rootkits und die wirst Du so nicht finden, auch Antiveren-SW findet da manchmal nichts...

Chris

Ps.:
MAM:
Anleitung hier: http://www.trojaner-board.de/51187-malwarebytes-anti-malware.html
Nutze aber bitte diesen Downloadlink http://filepony.de/download-malwarebytes_anti_malware/.
__________________
__________________

Alt 26.08.2008, 10:00   #4
danr
 
Frage zu diesem widerlichen "XP Antivirus 2008" - Standard

Frage zu diesem widerlichen "XP Antivirus 2008"



Vielen Dank, Chris, ich werde das heute Abend probieren.

Als Virenscanner habe ich G-Data. Hat bisher bei Viren immer angeschlagen, aber hier war er arglos.

Was könnt ihr mir für XP empfehlen?

Alt 26.08.2008, 11:24   #5
Chris4You
 
Frage zu diesem widerlichen "XP Antivirus 2008" - Standard

Frage zu diesem widerlichen "XP Antivirus 2008"



Hi,

GData ist eigentlich OK...
Ich pers. habe Kaspersky Internetscurity....

chris

__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 26.08.2008, 12:05   #6
danr
 
Frage zu diesem widerlichen "XP Antivirus 2008" - Standard

Frage zu diesem widerlichen "XP Antivirus 2008"



Ich habe mir zwischendurch mal hier (ich sitze hier an meinem viren- und trojanerfreien Büro-PC - jedenfalls behauptet das der von dir empfohlene Scanner, den ich hier mal ausprobiert habe) die Postings in der Hijack-Rubrik angesehen und stelle fest, dass mein Virüslein zurzeit ein echter "Bestseller" zu sein scheint. Na, dann bin ich ja immerhin in guter Gesellschaft.

Dank Gambit weiß ich nun auch, welcher Prozess bei mir der Böse ist. Die von ihm genannte exe war mir auch aufgefallen, ist aber gut getarnt (und kommt gleich dreimal vor). Die sollte mein Scan heute Abend auch auf jeden Fall finden, denn ich bin mir nicht sicher, ob die durch die Systemwiederherstellung auch wirklich "weggeschoben" wurden oder ob sie nur im Moment nur untätig in der Gegend herumlungert und mich dann angreift, wenn ich schon gar nicht mehr damit rechne.

Grüße vom Rhein

Daniel

Alt 26.08.2008, 16:50   #7
Chris4You
 
Frage zu diesem widerlichen "XP Antivirus 2008" - Standard

Frage zu diesem widerlichen "XP Antivirus 2008"



Hi,

Antivirus 2008 geht gerade um, MAM findet es eigentlich immer. Zu beachten ist, ob die Internetverbindung OK ist, im HJ-Log auf die folgende Zeile achten:
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.107 85.255.112.133

Wenn das der Fall ist, wird die Internetverbindung über die Ukraine geroutet..
(das hatte ich hier: http://www.trojaner-board.de/58083-antivirus-xp-2008-manuell-geloescht-und-jetzt.html)

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 26.08.2008, 19:48   #8
danr
 
Frage zu diesem widerlichen "XP Antivirus 2008" - Standard

Frage zu diesem widerlichen "XP Antivirus 2008"



Ja, und auch bei mir hat sich der MAM-Scan noch sehr gelohnt. Die zwei Trojaner-Downlader waren zwar durch mein nächtliches Systemzurücksetzen um vier Wochen erst einmal außer Kraft gesetzt, aber schau mal, was da noch so herumlungerte. Bei der von mir ohnehin verdächtigten Datendatei hatte ich sogar den richtigen Riecher:

17:26:20 26.08.2008
mbam-log-08-26-2008 (17-26-20).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 61191
Laufzeit: 1 hour(s), 36 minute(s), 21 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 12

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\run (Trojan.BHO) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\Daniel Roy\Anwendungsdaten\sp1 (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\System Volume Information\_restore{63543A00-7A34-4143-AE18-DE5EFF34ED57}\RP357\A0059214.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{63543A00-7A34-4143-AE18-DE5EFF34ED57}\RP358\A0060497.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Daniel Roy\Lokale Einstellungen\Temp\_A00F110387.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Daniel Roy\Lokale Einstellungen\Temp\_A00F121A37.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Daniel Roy\Lokale Einstellungen\Temp\_A00F85B77.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Daniel Roy\Lokale Einstellungen\Temp\_A00F9D390.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\Daniel Roy\Lokale Einstellungen\Temp\_A00FC4B76.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\__c0041642.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\__c008EE6C.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\__c00A404.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\__c00BCCC8.dat (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\__c00DD9C8.dat (Trojan.Agent) -> Quarantined and deleted successfully.


Herzlichen Dank für die Empfehlung! Für den Scan braucht man zwar Geduld, aber man wird belohnt.

Alt 26.08.2008, 20:05   #9
Chris4You
 
Frage zu diesem widerlichen "XP Antivirus 2008" - Standard

Frage zu diesem widerlichen "XP Antivirus 2008"



Hi,

in dem Fall müssen wir leider tiefer im System graben:

Combofix:
Download ComboFix (http://download.bleepingcomputer.com/sUBs/ComboFix.exe)
und speichert es auf den Desktop!
Alle Fenster schliessen und combofix.exe starten
Folge den Instruktionen in dem Fenster
Waehrend Combofix lauft NICHT ins Fenster klicken sonst (er-)hängt sich Dein Rechner.
Wenn das Tool fertig ist, öffnet sich ein logfile(combofix.txt )
nun das KOMPLETTE Log mit rechtem Mausklick abkopieren und ins Forum mit rechtem Mausklick "einfügen"
Poste es zusammen mit einem neuen Log von HijackThis...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 26.08.2008, 20:13   #10
danr
 
Frage zu diesem widerlichen "XP Antivirus 2008" - Standard

Frage zu diesem widerlichen "XP Antivirus 2008"



Wieso, was fehlt denn noch, Chris? Ich kann schon seit heute morgen nochmal arbeiten, der Recher murrt nicht.

Geändert von danr (26.08.2008 um 20:24 Uhr)

Alt 26.08.2008, 21:10   #11
danr
 
Frage zu diesem widerlichen "XP Antivirus 2008" - Standard

Frage zu diesem widerlichen "XP Antivirus 2008"



Ist es das, Chris?

ComboFix 08-08-25.01 - Daniel Roy 2008-08-26 20:52:44.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.208 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Daniel Roy\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
* Resident AV is active


Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\Daniel Roy\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\T7K93FQ3\bin.clearspring.com
C:\Dokumente und Einstellungen\Daniel Roy\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\T7K93FQ3\bin.clearspring.com\clearspring.sol
C:\Dokumente und Einstellungen\Daniel Roy\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\T7K93FQ3\interclick.com
C:\Dokumente und Einstellungen\Daniel Roy\Anwendungsdaten\macromedia\Flash Player\#SharedObjects\T7K93FQ3\interclick.com\ud.sol
C:\Dokumente und Einstellungen\Daniel Roy\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#bin.clearspring.com
C:\Dokumente und Einstellungen\Daniel Roy\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#bin.clearspring.com\settings.sol
C:\Dokumente und Einstellungen\Daniel Roy\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com
C:\Dokumente und Einstellungen\Daniel Roy\Anwendungsdaten\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#interclick.com\settings.sol

.
((((((((((((((((((((((( Dateien erstellt von 2008-07-26 bis 2008-08-26 ))))))))))))))))))))))))))))))
.

2008-08-26 20:20 . 2008-08-26 20:23 <DIR> d-------- C:\WINDOWS\LastGood
2008-08-26 15:47 . 2008-08-26 15:47 <DIR> d-------- C:\Programme\Malwarebytes' Anti-Malware
2008-08-26 15:47 . 2008-08-26 15:47 <DIR> d-------- C:\Dokumente und Einstellungen\Daniel Roy\Anwendungsdaten\Malwarebytes
2008-08-26 15:47 . 2008-08-26 15:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-08-26 15:47 . 2008-08-17 15:01 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-26 15:47 . 2008-08-17 15:01 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-25 20:42 . 2008-08-26 19:29 2,206 --a------ C:\WINDOWS\system32\wpa.dbl

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 17:39 247,296 ----a-w C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 17:39 148,992 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\dllcache\tcpip6.sys
2008-06-14 17:57 273,024 ------w C:\WINDOWS\system32\dllcache\bthport.sys
2001-11-23 04:08 712,704 ----a-r C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
2005-03-26 20:08 8 --sh--r C:\WINDOWS\system32\57EA1797A1.sys
2005-03-26 20:08 2,828 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

------- Sigcheck -------

2005-03-02 20:19 578560 4c90159a69a5fd3eb39c71411f28fcff C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\user32.dll
2007-03-08 17:48 579584 78785eff8cb90cec1862a4ccfd9a3c3a C:\WINDOWS\$hf_mig$\KB925902\SP2QFE\user32.dll
2004-08-04 14:00 578560 56785fd5236d7b22cf471a6da9db46d8 C:\WINDOWS\$NtUninstallKB890859$\user32.dll
2005-03-02 20:09 578560 3751d7cf0e0a113d84414992146bce6a C:\WINDOWS\$NtUninstallKB925902$\user32.dll
2007-03-08 17:36 579072 492e166cfd26a50fb9160db536ff7d2b C:\WINDOWS\system32\user32.dll
2007-03-08 17:36 579072 492e166cfd26a50fb9160db536ff7d2b C:\WINDOWS\system32\dllcache\user32.dll

2005-03-02 20:11 2059264 ae8364004bbfd70461d2ef34888d3360 C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntkrnlpa.exe
2006-12-19 20:43 2061696 d3767e1a7e6674ce671a8a8254945c29 C:\WINDOWS\$hf_mig$\KB929338\SP2QFE\ntkrnlpa.exe
2007-02-28 18:06 2061696 9b9ca27ad315c02b71510238574894b2 C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntkrnlpa.exe
2004-08-04 14:00 2017792 f8d35488d41b19a306a454ffc0ed0336 C:\WINDOWS\$NtUninstallKB890859$\ntkrnlpa.exe
2005-03-02 20:06 2017792 a3724446acb9de8d890cfabd146cd0ad C:\WINDOWS\$NtUninstallKB929338$\ntkrnlpa.exe
2006-12-19 20:21 2018304 88aafaf5ef9d304c132ee60c8240a93f C:\WINDOWS\$NtUninstallKB931784$\ntkrnlpa.exe
2007-02-28 18:02 2059904 06effe1520c59641fcdb8baa94a8539f C:\WINDOWS\Driver Cache\i386\ntkrnlpa.exe
2007-02-28 18:02 2018304 9dc58c5bdedccb8298c8a2d6d4996ec4 C:\WINDOWS\system32\ntkrnlpa.exe
2007-02-28 18:02 2059904 06effe1520c59641fcdb8baa94a8539f C:\WINDOWS\system32\dllcache\ntkrnlpa.exe

2005-03-02 20:11 2181888 eb5538a452e0e99169e2b6cdb62ff9d2 C:\WINDOWS\$hf_mig$\KB890859\SP2QFE\ntoskrnl.exe
2006-12-19 20:43 2184320 00c476049fecf1d3a05c783015b9b518 C:\WINDOWS\$hf_mig$\KB929338\SP2QFE\ntoskrnl.exe
2007-02-28 18:06 2184448 e1de7a10d46959560c3b617227d95c19 C:\WINDOWS\$hf_mig$\KB931784\SP2QFE\ntoskrnl.exe
2004-08-04 14:00 2150912 c3ec5dd56e3eb15d80af9fcee030cabd C:\WINDOWS\$NtUninstallKB890859$\ntoskrnl.exe
2005-03-02 20:06 2138112 3ddc2bc3d32b2fc505d09b8b8974d5bb C:\WINDOWS\$NtUninstallKB929338$\ntoskrnl.exe
2006-12-19 20:21 2138624 6a5f324a815e66feb3961598ee585eeb C:\WINDOWS\$NtUninstallKB931784$\ntoskrnl.exe
2007-02-28 18:02 2182656 2804b72eb675cd43df7994ae4685b894 C:\WINDOWS\Driver Cache\i386\ntoskrnl.exe
2007-02-28 18:02 2138624 495d541a116e7f1b79ed9bd588f54a71 C:\WINDOWS\system32\ntoskrnl.exe
2007-02-28 18:02 2182656 2804b72eb675cd43df7994ae4685b894 C:\WINDOWS\system32\dllcache\ntoskrnl.exe

2007-06-13 15:21 1036288 64d320c0e301eedc5a4adbbdc5024f7f C:\WINDOWS\explorer.exe
2007-06-13 15:10 1036288 331ed93570baf3cfe30340298762cd56 C:\WINDOWS\$hf_mig$\KB938828\SP2QFE\explorer.exe
2004-08-04 14:00 1035264 22fe1be02eadde1632e478e4125639e0 C:\WINDOWS\$NtUninstallKB938828$\explorer.exe
2007-06-13 15:21 1036288 64d320c0e301eedc5a4adbbdc5024f7f C:\WINDOWS\system32\dllcache\explorer.exe
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"Power2GoExpress"="C:\Programme\CyberLink\Power2Go\Power2GoExpress.exe" [2005-03-23 14:34 1630303]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-03-11 21:00 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2005-03-26 21:52 98304]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2005-07-05 10:02 98304]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-07-05 10:02 495616]
"AOLDialer"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2007-06-21 14:42 70952]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2004-07-15 01:07 32768]
"MMTray"="C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe" [2003-10-01 11:56 114688]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-06-26 21:05 344064]
"RealTray"="C:\Programme\Real\RealPlayer\RealPlay.exe" [2005-03-26 21:52 26112]
"HostManager"="C:\Programme\Gemeinsame Dateien\AOL\1177619591\ee\AOLSoftware.exe" [2006-11-17 15:16 50736]
"AGRSMMSG"="AGRSMMSG.exe" [2005-07-05 10:06 88361 C:\WINDOWS\AGRSMMSG.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-03-11 21:00 68856]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
AOL 9.0 Tray-Symbol.lnk - C:\Programme\AOL 9.0\aoltray.exe [2005-07-08 05:43:28 156784]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.clmp3enc"= C:\PROGRA~1\CYBERL~1\Power2Go\CLMP3Enc.ACM

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]
SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\AOL 9.0\\waol.exe"=
"C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDial.exe"=
"C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLAcsd.exe"=
"C:\\Programme\\Gemeinsame Dateien\\aol\\1177619591\\ee\\aolsoftware.exe"=
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"=

R2 AVKService;AVK Service;C:\Programme\Virenschutz\AVKService.exe [2003-10-27 13:13]
R2 AVKWCtl;G DATA Virenschutz Wächter;C:\Programme\Virenschutz\AVKWCtl.exe [2004-03-02 14:13]
R3 GDInterceptor;GDInterceptor;C:\WINDOWS\system32\interceptor.sys [2005-09-24 14:59]
S3 UMSSSTOR;C-Media Storage;C:\WINDOWS\system32\DRIVERS\UMSS.SYS []

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Inhalt des "geplante Tasks" Ordners

2008-08-24 C:\WINDOWS\Tasks\At64.job
- C:\WINDOWS\system32\D80kdB06.exe []
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-mmtask - c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
HKLM-Run-Cmaudio - cmicnfg.cpl


.
------- Zusätzlicher Scan -------
.
R0 -: HKCU-Main,Start Page = hxxp://www.geocities.com/
R1 -: HKCU-Internet Connection Wizard,ShellNext = hxxp://www.gericom.com/
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-26 20:58:07
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-08-26 21:00:30
ComboFix-quarantined-files.txt 2008-08-26 19:00:21

Pre-Run: 10 Verzeichnis(se), 53,611,200,512 Bytes frei
Post-Run: 12 Verzeichnis(se), 53,711,953,920 Bytes frei

156 --- E O F --- 2008-07-12 04:06:05

Alt 27.08.2008, 05:21   #12
danr
 
Frage zu diesem widerlichen "XP Antivirus 2008" - Standard

Frage zu diesem widerlichen "XP Antivirus 2008"



Ach ja, der HJ-Log fehlt noch:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 05:18:38, on 27.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Virenschutz\AVKService.exe
C:\Programme\Virenschutz\AVKWCtl.exe
C:\WINDOWS\wanmpsvc.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Gemeinsame Dateien\AOL\1177619591\ee\AOLSoftware.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\AOL 9.0\aoltray.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.geocities.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.gericom.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [HostManager] C:\Programme\Gemeinsame Dateien\AOL\1177619591\ee\AOLSoftware.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Power2GoExpress] "C:\Programme\CyberLink\Power2Go\Power2GoExpress.exe" /Startup
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{B0F439AA-8849-4490-B4E6-EAAC9E667BE2}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVK Service (AVKService) - Unknown owner - C:\Programme\Virenschutz\AVKService.exe
O23 - Service: G DATA Virenschutz Wächter (AVKWCtl) - Unknown owner - C:\Programme\Virenschutz\AVKWCtl.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe

--
End of file - 4869 bytes

Ukraine njet, oder?

Alt 27.08.2008, 06:51   #13
danr
 
Frage zu diesem widerlichen "XP Antivirus 2008" - Standard

Frage zu diesem widerlichen "XP Antivirus 2008"



Und auch noch den akuellen MAM-Scan-Bericht:

Malwarebytes' Anti-Malware 1.25
Datenbank Version: 1087
Windows 5.1.2600 Service Pack 2

06:36:37 27.08.2008
mbam-log-08-27-2008 (06-36-37).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 60498
Laufzeit: 1 hour(s), 6 minute(s), 40 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Alt 27.08.2008, 07:31   #14
Chris4You
 
Frage zu diesem widerlichen "XP Antivirus 2008" - Standard

Frage zu diesem widerlichen "XP Antivirus 2008"



Hi,

zwei Sachen, da ist noch eine ZLob-Variante aktiv:
2008-08-24 C:\WINDOWS\Tasks\At64.job
- C:\WINDOWS\system32\D80kdB06.exe []

Damit wird die Neuinfektion "zeitgesteuert", immer wenn der Job läuft...
(den Rest kannst Du Dir denken... (...
Dann hoffen wir dass wir das "Biest" rechtzeitig genug entdeckt haben,
bevor das Spiel wieder von vorne beginnt....

HJ sieht sonst OK aus...

Bitte folgende Files prüfen:
Zitat:
C:\WINDOWS\system32\D80kdB06.exe
http://www.virustotal.com/flash/index_en.html
Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen
Poste das Ergebniss...

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")


Code:
ATTFilter
Files to delete:
C:\WINDOWS\system32\D80kdB06.exe

Folders to delete:
C:\WINDOWS\Tasks\At64.job
         
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 27.08.2008, 11:09   #15
danr
 
Frage zu diesem widerlichen "XP Antivirus 2008" - Standard

Frage zu diesem widerlichen "XP Antivirus 2008"



Zitat:
Zitat von Chris4You Beitrag anzeigen
Hi,

zwei Sachen, da ist noch eine ZLob-Variante aktiv:
2008-08-24 C:\WINDOWS\Tasks\At64.job
- C:\WINDOWS\system32\D80kdB06.exe []

Damit wird die Neuinfektion "zeitgesteuert", immer wenn der Job läuft...
(den Rest kannst Du Dir denken... (...
Dann hoffen wir dass wir das "Biest" rechtzeitig genug entdeckt haben,
bevor das Spiel wieder von vorne beginnt....
Ook dat nog (wie die Holländer sahen)
Muss bis heute Abend warten. Hoffentlich ist die "started task" nicht für heute angesetzt. Aber na ja - die Produkte dagegen habe ich ja jetzt.

Antwort

Themen zu Frage zu diesem widerlichen "XP Antivirus 2008"
antivirus, antivirus 2008, dateien, defekt, entfernen, explorer, fehler, frage, internet, internet explorer, lan, löschen, namen, ordner, popup, popups, prozess, seite, software, speicherplatz, stimme, system32, windows, windows xp, xp antivirus 2008



Ähnliche Themen: Frage zu diesem widerlichen "XP Antivirus 2008"


  1. Diverse Malware ("CoolSaleCoupon", "ddownlloaditkeep", "omiga-plus", "SaveSense", "SaleItCoupon"); lahmer PC & viel Werbung!
    Plagegeister aller Art und deren Bekämpfung - 11.01.2015 (16)
  2. Anti Spyware+ Antivirus ohne funktion, PC langsam, "Setting.DisableTaskMgr", "Setting.DisableRegistryTools"
    Plagegeister aller Art und deren Bekämpfung - 10.12.2014 (9)
  3. "search.ueep.com" und "Antivirus Security Pro" entfernen
    Plagegeister aller Art und deren Bekämpfung - 08.11.2013 (36)
  4. virus/trojaner über skype eingefangen "sie ist auf diesem foto?"
    Log-Analyse und Auswertung - 25.04.2013 (22)
  5. virus/trojaner über skype eingefangen "sie ist auf diesem foto?"
    Plagegeister aller Art und deren Bekämpfung - 23.04.2013 (21)
  6. 3x | habe mir virus/trojaner über skype eingefangen "sie ist auf diesem foto?"
    Mülltonne - 23.04.2013 (1)
  7. 2x | virus/trojaner über skype eingefangen "sie ist auf diesem foto?"
    Mülltonne - 23.04.2013 (1)
  8. Gibt es einen Schutz vor "Malware Defense", "Antivirus 2010pro" und Co?
    Antiviren-, Firewall- und andere Schutzprogramme - 30.12.2012 (25)
  9. Frage zum Neuaufsetzen ( "Client für Microsoft Netzwerke" / "Druckerfreigabe")
    Alles rund um Windows - 28.04.2010 (1)
  10. "ANTIVIRUS XP 2008 license agreement"wer kann mir helfen?
    Log-Analyse und Auswertung - 15.09.2008 (3)
  11. Logfiles mit "XP-Antivirus 2008"
    Plagegeister aller Art und deren Bekämpfung - 02.09.2008 (5)
  12. "Hijacked Internet access by WebHancer" installiert "Antivirus 2009 XP"
    Log-Analyse und Auswertung - 18.08.2008 (1)
  13. Antivirus 2008 XP (nicht "Antivirus XP 2008"!)
    Plagegeister aller Art und deren Bekämpfung - 10.08.2008 (1)
  14. Trojaner "Antivirus XP 2008"
    Plagegeister aller Art und deren Bekämpfung - 10.08.2008 (2)
  15. HJT-Logfile nach "Vista Antivirus 2008"-Befall
    Log-Analyse und Auswertung - 30.07.2008 (1)
  16. hatte "Antivirus 2008 XP" auf dem Rechner
    Log-Analyse und Auswertung - 15.07.2008 (2)
  17. Frage wegen "dumprep 0 -k" und "kernel.exe"
    Log-Analyse und Auswertung - 07.09.2005 (3)

Zum Thema Frage zu diesem widerlichen "XP Antivirus 2008" - Hallo, ihr! Auch ich habe Bekanntschaft mit der bösartigen Software mit dem betrügerischen Namen "XP Antivirus 2008" gemacht, die bereits hier in diesem Board und in englischsprachigen Boards noch viel - Frage zu diesem widerlichen "XP Antivirus 2008"...
Archiv
Du betrachtest: Frage zu diesem widerlichen "XP Antivirus 2008" auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.