virtumonde, smitfraud und "windows security alert"

udo68 · 12.09.2008, 13:32

Hallo,
kämpfe seit 2-3 Tagen mit oben genannten Problemen.
Windows Security Alert öffnet sich häufig mit einer URL "antispyware-review.biz".
Habe Windows XP prof. , Antivir von Avira und Spybot auf dem Rechner.
Gemäß eurer Anleitungen habe ich smitrem, Adaware, Spybot, escan und HijackThis durchlaufen lassen die ich hier poste:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:44:19, on 11.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\Programme\Lavasoft\Ad-Aware\aawservice.exe
F:\WINDOWS\Explorer.EXE
F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vatovcbw\biteraha.exe
F:\WINDOWS\Mixer.exe
F:\Programme\Java\jre1.6.0_07\bin\jusched.exe
F:\WINDOWS\system32\LEXBCES.EXE
F:\Programme\iTunes\iTunesHelper.exe
F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
F:\WINDOWS\system32\LEXPPS.EXE
F:\WINDOWS\system32\spoolsv.exe
F:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
F:\WINDOWS\system32\RUNDLL32.EXE
F:\WINDOWS\system32\ctfmon.exe
F:\WINDOWS\NCLAUNCH.EXe
F:\WINDOWS\system32\rgtkjwxi.exe
F:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
F:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
F:\Programme\Bonjour\mDNSResponder.exe
F:\WINDOWS\system32\cisvc.exe
F:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
F:\Programme\CDBurnerXP\NMSAccessU.exe
F:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
F:\WINDOWS\system32\nvsvc32.exe
F:\WINDOWS\System32\snmp.exe
F:\Programme\iPod\bin\iPodService.exe
F:\WINDOWS\system32\cidaemon.exe
F:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - F:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "F:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SiSUSBRG] F:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NCLaunch] F:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [MntAdm] F:\WINDOWS\system32\rgtkjwxi.exe
O4 - HKCU\..\Run: [MsgCom] F:\WINDOWS\system32\klmzexit.exe
O4 - HKCU\..\Run: [AdmUtilMon] F:\WINDOWS\system32\bmjuhijs.exe
O4 - HKCU\..\Run: [ApiSet] F:\WINDOWS\system32\mfclwngv.exe
O4 - HKCU\..\Run: [EnUtil] F:\WINDOWS\system32\kjidchab.exe
O4 - HKLM\..\Policies\Explorer\Run: [yznFwC7QBA] F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vatovcbw\biteraha.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O21 - SSODL: strcmd - {6D20CF53-3DA9-9799-EB23-067B5C6F8003} - F:\Programme\ksamieg\strcmd.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - F:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - F:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - F:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - F:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - F:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MWAgent - MicroWorld Technologies Inc. - F:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: NMSAccessU - Unknown owner - F:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6672 bytes

@echo off

REM Version 2008.03.12

REM

REM Die Grundlage für diese Batchdatei wurde von Haui45 geschaffen.

REM Ein Dankeschön an Cidre und KarlKarl für ihre Verbesserungsvorschläge.

REM Danke auch an undoreal, cad, ordell1234 sowie alle ungenannten,

REM freiwilligen sowie unfreiwilligen Tester.

REM Diese Batchdatei wurde von Mitgliedern des Sicherheitsforums www.trojaner-board.de erstellt.

REM Die Datei kann jederzeit für nicht-kommerzielle Zwecke heruntergeladen und verwendet werden.

REM Die Bereitstellung gegen Entgelt sowie die Verwendung des Codes in nicht-freier Software sind

REM nicht gestattet.

REM

REM Marc Manske, April 2007

REM *********************************************************************************

REM 0. Macht die Arbeit etwas einfacher

REM *********************************************************************************

REM

REM Die Startzeit wird übergeben

REM %LOG% erleichtert das Tippen und verbessert den Überblick

REM Der Batch kann ein Paramter übermittel werden, der bestimmt wie die Ausgabe aussieht:

REM 1: Anzeige aller Scans

REM 2: Anzeige mit Datum und Zeit in jeder Zeile

REM 3: Anzeige aller scans mit Datum und Zeit in jeder Zeile

REM Der Paramter wird an %MODUS& übergeben.

:INITIAL

set TIMESTART=%TIME%

set wd=%systemdrive%\escan

set LOG=^>^> "%wd%\bases_x\eScan_neu.txt"

set MODUS=%1

set linecnt=1

REM *********************************************************************************

REM 1. Hier wird ermittelt, ob eine NT-Variante vorliegt.

REM *********************************************************************************

REM

REM Es wird lediglich überprüft, ob eine NT-Variante vorliegt.

REM Die Umgebungsvariable %OS% abgefragt.

:OS

cls

echo.

echo.

echo [XX______________________]

echo.

echo Checking OS ...

IF "%OS%"=="Windows_NT" goto srchwd

IF "%OS%"=="" goto wrngos

REM *********************************************************************************

REM 2. Verarbeitung des Scanreports

REM *********************************************************************************

REM 2.0.1 Log-Datei (mwav.log) wird gesucht

REM Zuerst wird geprueft, ob das Arbeitsverzeichnis bereits existiert. Falls nicht, wird es erstellt.

REM Ist bereits eine Kopie im Arbeitsverzeichnis (z.B. von einem vorherigen Durchlauf),

REM wird diese umbenannt.

:srchwd

%systemdrive%

cd\

dir /A %systemdrive% | findstr /i "escan"

if %errorlevel% equ 0 goto srchlog

mkdir %wd%\bases_x

goto cp2wd

:srchlog

dir %wd%\bases_x | findstr /i "mwav.log"

if %errorlevel% equ 1 goto cp2wd

ren %wd%\bases_x\mwav.log "mwav-%date%_%time:~0,2%-%time:~3,2%-%time:~6,2%.log"

REM 2.0.1 Scanreport (mwav.log) wird gesucht und in das Arbeitsverzeichnis kopiert.

:cp2wd

cls

echo.

echo.

echo [XXXX____________________]

echo.

echo Copying mwav.log ...

dir /s /b %temp%\mwav.log > %wd%\bases_x\tmp.log

set /P FILE=<%wd%\bases_x\tmp.log

copy "%FILE%" %wd%\bases_x\

REM 2.0.2 Installationssprache wird ermittelt

REM In HKCR\eut wird der Wert von "Language" abgefragt und %eLang% zugewiesen.

REM Ist "Language" nicht vorhanden, ist Englisch per Default die Installationssprache.

REM Liefert "Language" etwas anderes als "English" oder "German" wird abgebrochen.

:getlang

cls

echo.

echo.

echo [XXXXXX__________________]

echo.

echo Determing language ...

reg query HKCR\eut /v "Language" > nul

for /f "tokens=3 skip=2" %%i in ('reg query HKCR\eut /v "Language"') do set eLang=%%i

if "%eLang%"=="German" (

goto germpath

) else (

goto wrnglang

)

REM *********************************************************************************

REM *********************************************************************************

REM 2.1 Deutschsprachiger Pfad

REM *********************************************************************************

REM *********************************************************************************

:germpath

cls

echo.

echo.

echo [XXXXXXXX________________]

echo.

echo Cleaning log ...

cls

echo.

echo.

echo [XXXXXXXXXX______________]

echo.

echo Writing header ...

echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ > %wd%\bases_x\eScan_neu.txt

echo Header %LOG%

echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%

echo find.bat Version 2008.03.07 %LOG%

ver %LOG%

findstr "Bootmodus:" %wd%\bases_x\mwav_cut.log %LOG%

if "%errorlevel%"=="1" echo Bootmodus: Normal %LOG%

echo. %LOG%

for /f "tokens=3 skip=2" %%i in ('reg query HKCR\eut /v "Version" 2^>nul') do set eVersion=%%i

if not defined eVersion (for /f "tokens=1-3" %%i in ('findstr /c:"Version" %wd%\bases_x\mwav_cut.log') do set eVersion=%%i %%j)

echo eScan Version: %eVersion% %LOG%

echo Sprache: %eLang% %LOG%

for /f "tokens=*" %%i in ('findstr "Virus-Datenbank" %wd%\bases_x\mwav_cut.log^|findstr "Datum"') do (echo %%i > %wd%\bases_x\tmp.log)

more %wd%\bases_x\tmp.log %LOG%

echo. %LOG%

REM 2.1.2 Deutsch: Infektionsmeldungen werden gesucht und in Reportdatei geschrieben.

REM Hierbei handelt es sich lediglich um allgemeine Meldungen ohne grossen praktischen Wert.

REM Wegen der unklaren Situation sind sowhl deutsche als auch englische strings enthalten.

cls

echo.

echo.

echo [XXXXXXXXXXXX____________]

echo.

echo Reported infections ...

REM 2.1.3 Deutsch: Dateimeldungen werden gesucht und in Reportdatei geschrieben.

cls

echo.

echo.

echo [XXXXXXXXXXXXXX__________]

echo.

echo Reported files ...

echo. %LOG%

echo. %LOG%

echo ~~~~~~~~~~~ %LOG%

echo Dateien %LOG%

echo ~~~~~~~~~~~ %LOG%

echo ~~~~ Infected files %LOG%

echo ~~~~~~~~~~~ %LOG%

findstr "Datei" %wd%\bases_x\mwav_cut.log | findstr /i "infiziert" %LOG%

echo ~~~~~~~~~~~ %LOG%

echo ~~~~ Tagged files %LOG%

echo ~~~~~~~~~~~ %LOG%

findstr "markiert" %wd%\bases_x\mwav_cut.log %LOG%

echo ~~~~~~~~~~~ %LOG%

echo ~~~~ Offending files %LOG%

echo ~~~~~~~~~~~ %LOG%

findstr "Offending" %wd%\bases_x\mwav_cut.log | findstr "file" %LOG%

echo ~~~~~~~~~~~ %LOG%

echo ~~~~ Spyware (Vorsicht: Oft Fehlalarm!) %LOG%

echo ~~~~~~~~~~~ %LOG%

findstr /i "Spyware infected" %wd%\bases_x\mwav_cut.log %LOG%

REM 2.1.4 Deutsch: Ordner werden gesucht und in Reportdatei geschrieben.

cls

echo.

echo.

echo [XXXXXXXXXXXXXXXX________]

echo.

echo Reported folders and entries ...

echo ~~~~~~~~~~~ %LOG%

echo Ordner %LOG%

echo ~~~~~~~~~~~ %LOG%

findstr "Offending" %wd%\bases_x\mwav_cut.log | findstr /i "Folder" %LOG%

echo ~~~~~~~~~~~ %LOG%

echo Registry %LOG%

echo ~~~~~~~~~~~ %LOG%

findstr "Offending" %wd%\bases_x\mwav_cut.log | findstr "Key" %LOG%

REM 2.1.5 Deutsch: Diverses

REM Meldungen über laufende Prozesse und Scanfehler

REM 1. Schritt: Schreiben des vbs zu den laufenden Prozessen

REM 2. Schritt: Einfuegen der Liste in das log

cls

echo.

echo.

echo [XXXXXXXXXXXXXXXXXX______]

echo.

echo Misc entries ...

echo Dim objWMIService, Proccmdline, ProcList>>%wd%\prclst.vbs

echo Dim strComputer, strList>>%wd%\prclst.vbs

echo strComputer ^= ".">>%wd%\prclst.vbs

echo Set objWMIService ^= GetObject("winmgmts:" ^& "{impersonationLevel=impersonate}!\\" ^& strComputer ^& "\root\cimv2")>>%wd%\prclst.vbs

echo Set ProcList ^= objWMIService.ExecQuery ("Select * from Win32_Process")>>%wd%\prclst.vbs

echo For Each Proccmdline in ProcList>>%wd%\prclst.vbs

echo wscript.echo Proccmdline.Name ^& " - " ^& Proccmdline.commandline>>%wd%\prclst.vbs

echo Next>>%wd%\prclst.vbs

echo. %LOG%

echo. %LOG%

echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%

echo Diverses %LOG%

echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%

echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%

echo laufende Prozesse - commandline %LOG%

echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%

cscript %wd%\prclst.vbs //nologo %LOG%

echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%

echo Scanfehler %LOG%

echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%

findstr /i "Error" %wd%\bases_x\mwav_cut.log %LOG%

echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%

echo Hosts-Datei %LOG%

echo ~~~~~~~~~~~~~~~~~~~~~~ %LOG%

for /f "tokens=3 skip=2" %%i in ('reg query HKLM\System\CurrentControlSet\Services\Tcpip\Parameters /v "DataBasePath"') do set hostloc=%%i

echo DataBasePath: %hostloc% %LOG%

echo %hostloc%\hosts|more> %wd%\bases_x\tmp.log

echo Zeilen die nicht dem Standard entsprechen: %LOG%

findstr /v /f:%wd%\bases_x\tmp.log "^#" 2>nul|findstr /v /c:"127.0.0.1 localhost"|findstr /v /c:"::1 localhost" %LOG%

REM 2.1.6 Deutsch: Statistiken werden gesucht und in Reportdatei geschrieben.

cls

echo.

echo.

echo [XXXXXXXXXXXXXXXXXXXX____]

echo.

echo Scanning stats ...

echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%

echo Statistiken: >>%wd%\bases_x\eScan_neu.txt

echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%

for /f "tokens=*" %%i in ('findstr /b "Zahl Zeit" %wd%\bases_x\mwav_cut.log') do (find "%%i" %wd%\bases_x\eScan_neu.txt>nul|| echo %%i%LOG%)

REM 2.1.7 Deutsch: Scan-Optionen werden gesucht und in Reportdatei geschrieben.

cls

echo.

echo.

echo [XXXXXXXXXXXXXXXXXXXXXX__]

echo.

echo Writing Options ...

echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%

echo Scan-Optionen %LOG%

echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ %LOG%

findstr /i "aktiviert" %wd%\bases_x\mwav_cut.log >> %wd%\bases_x\tmp.log

for /f "tokens=*" %%i in ('findstr /i "aktiviert" %wd%\bases_x\tmp.log') do (find "%%i" %wd%\bases_x\eScan_neu.txt>nul|| echo %%i%LOG%)

REM *********************************************************************************

REM *********************************************************************************

REM 3. Abschluss

REM *********************************************************************************

REM *********************************************************************************

REM 3.1 Abschluss: Temporäre Dateien werden gelöscht.

:end

cls

echo.

echo.

echo [XXXXXXXXXXXXXXXXXXXXXXXX]

echo.

echo Cleaning up ...

del %wd%\bases_x\tmp.log

del %wd%\bases_x\mwav_clean.log

del %wd%\bases_x\mwav_cut.log

del %wd%\prclst*

echo. %LOG%

echo Batchstart: %TIMESTART% %LOG%

echo Batchende: %TIME% %LOG%

REM 3.2 Abschluss: Status wird angezeigt

cls

echo.

echo.

echo Auswertung beendet.

echo Dieses Fenster schliesst, sobald Notepad geschlossen wird.

REM 3.3 Abschluss: Reportdatei wird geöffnet und Batch beendet

start notepad %wd%\bases_x\eScan_neu.txt

exit

REM 4.1 Abbruch: Falsches Betriebssystem

:wrngos

cls

color 04

echo.

echo Ihre Windowsversion wird nicht unterstützt.

echo Die Stapelverarbeitung wird abgegbrochen.

echo.

pause

exit

REM 4.2 Abbruch: falsche Installationssprache

:wrnglang

cls

color 04

echo.

echo Fehler bei der Ermittlung der Installationssprache!

echo.

echo Diese Batchdatei kann nur Logdateien in deutscher Sprache

echo auswerten. Sie haben bei der Installation %eLang% als Sprache gewaehlt.

echo.

echo In der FAQ-Sektion von www.trojaner-board.de finden Sie eine Anleitung um

echo die Sprache bei eScan zu ändern.

echo.

echo Die Stapelverarbeitung wird abgebrochen.

echo.

pause

exit

smitRem © log file
version 3.2

by noahdfear

Microsoft Windows XP [Version 5.1.2600]
"IE"="7.0000"

Running from
F:\Dokumente und Einstellungen\Udo1\Desktop\smitrem\smitRem

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run SharedTask Export

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Appinitdll check ........ Thank you Grinler!

dumphive.exe (C)2000-2004 Markus Stephany
REGEDIT4

[Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

XP Firewall allowed access

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"F:\\Programme\\eMule\\emule.exe"="F:\\Programme\\eMule\\emule.exe:*:Enabled:eMule"
"F:\\Programme\\Real\\RealPlayer\\realplay.exe"="F:\\Programme\\Real\\RealPlayer\\realplay.exe:*:Enabled:RealPlayer"
"F:\\Programme\\Bonjour\\mDNSResponder.exe"="F:\\Programme\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"F:\\Programme\\iTunes\\iTunes.exe"="F:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"F:\\Programme\\Mozilla Firefox\\firefox.exe"="F:\\Programme\\Mozilla Firefox\\firefox.exe:*:Enabled:Firefox"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"F:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"="F:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE:*:Enabled:MicroWorld Management Agent"
"F:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\eScanRAD\\ESCANRAD.EXE"="F:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\eScanRAD\\ESCANRAD.EXE:*:Enabled:eScan Remote Administration Tool"

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key

PSGuard.com key not present!

checking for WinHound.com key

WinHound.com key not present!

checking for drsmartload2 key

drsmartload2 key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
SpywareStrike uninstaller NOT present
AlfaCleaner uninstaller NOT present
SpyFalcon uninstaller NOT present
SpywareQuake uninstaller NOT present
SpywareSheriff uninstaller NOT present
Trust Cleaner uninstaller NOT present
SpyHeal uninstaller NOT present
VirusBurst uninstaller NOT present
BraveSentry uninstaller NOT present
AntiVermins uninstaller NOT present
VirusBursters uninstaller NOT present

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

amcompat.tlb
nscompat.tlb

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 1384 'explorer.exe'

Starting registry repairs

Registry repairs complete

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

SharedTask Export after registry fix

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461EF-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Deleting files

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Remaining Post-run Files

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~ Wininet.dll ~~~

CLEAN!

Ich bin mir nicht sicher ob find.bat bei escan richtig funktionierte, habe es jetzt zweimal auf unterschiedliche Weise versucht, kommt jedesmal dasselbe Ergebnis raus.
Da der Beitrag etwas zu groß war, habe ich Teile aus der Mitte des find.bat gelöscht. Also bitte nicht wundern.

Chris4You · 12.09.2008, 14:20

Hi,

bitte alle Tools downloaden, Beschreibung ausdrucken, offline gehen und dann wie folgt vorgehen:

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

ATTFilter

F:\WINDOWS\system32\rgtkjwxi.exe
F:\Programme\ksamieg\strcmd.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:

ATTFilter

Files to delete:
F:\WINDOWS\system32\rgtkjwxi.exe
F:\WINDOWS\system32\klmzexit.exe
F:\WINDOWS\system32\bmjuhijs.exe
F:\WINDOWS\system32\mfclwngv.exe
F:\WINDOWS\system32\kjidchab.exe
F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vatovcbw\biteraha.exe

Folders do delete:
F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vatovcbw

3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

Hijackthis, fixen:
öffne das HijackThis -- Button "scan" -- vor den nachfolgenden Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten
Beim fixen müssen alle Programme geschlossen sein!

Code:

ATTFilter

O4 - HKCU\..\Run: [MntAdm] F:\WINDOWS\system32\rgtkjwxi.exe
O4 - HKCU\..\Run: [MsgCom] F:\WINDOWS\system32\klmzexit.exe
O4 - HKCU\..\Run: [AdmUtilMon] F:\WINDOWS\system32\bmjuhijs.exe
O4 - HKCU\..\Run: [ApiSet] F:\WINDOWS\system32\mfclwngv.exe
O4 - HKCU\..\Run: [EnUtil] F:\WINDOWS\system32\kjidchab.exe
O4 - HKLM\..\Policies\Explorer\Run: [yznFwC7QBA] F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vatovcbw\biteraha.exe

Danach bitte MAM und Combofix:

MAM
Malwarebytes Antimalware.
Anleitung&Download hier: http://www.trojaner-board.de/51187-m...i-malware.html

Combofix:
Lade ComboFix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird

Poste anschließen ein neues HJ-Log mit allen anderen Logs...
Regeln für HJ-Logs beachten->http://www.trojaner-board.de/22771-a...log-files.html

Chris

udo68 · 12.09.2008, 15:44

Datei rgtkjwxi.exe empfangen 2008.09.12 16:29:41 (CET)
Status: Beendet
Ergebnis: 7/36 (19.45%)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.13.0 2008.09.12 -
AntiVir 7.8.1.28 2008.09.12 -
Authentium 5.1.0.4 2008.09.12 -
Avast 4.8.1195.0 2008.09.12 -
AVG 8.0.0.161 2008.09.12 -
BitDefender 7.2 2008.09.12 -
CAT-QuickHeal 9.50 2008.09.12 -
ClamAV 0.93.1 2008.09.12 -
DrWeb 4.44.0.09170 2008.09.12 -
eSafe 7.0.17.0 2008.09.11 -
eTrust-Vet 31.6.6086 2008.09.12 -
Ewido 4.0 2008.09.12 -
F-Prot 4.4.4.56 2008.09.12 -
F-Secure 8.0.14332.0 2008.09.12 Trojan.Win32.Obfuscated.gx
Fortinet 3.113.0.0 2008.09.12 W32/PolySmall.BP!tr
GData 19 2008.09.12 Trojan.Win32.Obfuscated.gx
Ikarus T3.1.1.34.0 2008.09.12 -
K7AntiVirus 7.10.452 2008.09.11 -
Kaspersky 7.0.0.125 2008.09.12 Trojan.Win32.Obfuscated.gx
McAfee 5382 2008.09.11 -
Microsoft 1.3903 2008.09.12 TrojanDownloader:Win32/FakeAlert.C
NOD32v2 3437 2008.09.12 a variant of Win32/TrojanDownloader.FakeAlert.IQ
Norman 5.80.02 2008.09.12 -
Panda 9.0.0.4 2008.09.12 -
PCTools 4.4.2.0 2008.09.12 -
Prevx1 V2 2008.09.12 -
Rising 20.61.42.00 2008.09.12 -
Sophos 4.33.0 2008.09.12 Mal/EncPk-DG
Sunbelt 3.1.1628.1 2008.09.12 -
Symantec 10 2008.09.12 -
TheHacker 6.3.0.9.077 2008.09.10 -
TrendMicro 8.700.0.1004 2008.09.12 -
VBA32 3.12.8.5 2008.09.12 -
ViRobot 2008.9.12.1375 2008.09.12 -
VirusBuster 4.5.11.0 2008.09.12 -
Webwasher-Gateway 6.6.2 2008.09.12 -
weitere Informationen
File size: 94208 bytes
MD5...: 74b0d49dc036d2093955dc7e8e7c8329
SHA1..: cc7c1ad19a614838fd3e163d1bca511095c37ff7
SHA256: 5a68e1ebd1924b1a48c6f7c88f0b955dca27199d9f9d2e9adcd4d045b4f5c566
SHA512: 623504e47ac42f18f1710eeb58ae1d694409db9d0cf3441c32b44793356f878643e60bc676e1c942f85bdf036f03205fb84e9759bb51664c7094d9c86192cecf
PEiD..: -
TrID..: File type identificationWin32 Executable Generic (42.3%)Win32 Dynamic Link Library (generic) (37.6%)Generic Win/DOS Executable (9.9%)DOS Executable Generic (9.9%)Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information( base data )entrypointaddress.: 0x410bc9timedatestamp.....: 0x48c7e198 (Wed Sep 10 15:02:48 2008)machinetype.......: 0x14c (I386)( 3 sections )name viradd virsiz rawdsiz ntrpy md5.uchla 0x1000 0x1397e 0x14000 6.82 d01e5d7f7734689fec31725c6525abc0.zyly 0x15000 0x5e4 0x1000 2.51 7b21224e18177e4c06230a7cb1463cbe.liqo 0x16000 0x59a0 0x1000 0.44 f20a5673bff97076d02ac10612d9e076( 4 imports ) > KERNEL32.dll: GetLogicalDrives, WriteFile, FindFirstFileW, DuplicateHandle, WaitForSingleObject, WaitForMultipleObjects, ResetEvent, lstrlenW, GetCurrentThreadId, WideCharToMultiByte, GetProcAddress, SizeofResource, SuspendThread, LoadLibraryA, FindFirstChangeNotificationW, FindResourceExW, SetEvent, FindNextChangeNotification, SetWaitableTimer, GlobalUnlock, CreateProcessW, WritePrivateProfileStringW, GetCurrentThread> USER32.dll: GetSystemMetrics, RedrawWindow, DestroyMenu, WindowFromPoint, wsprintfW, OffsetRect, FillRect, VkKeyScanW, SetCursor, SetWindowPos, GetCursorPos, SystemParametersInfoW, GetWindowRect, CreatePopupMenu, InvalidateRect, AppendMenuW, MessageBoxW> GDI32.dll: SetBkColor, CreateFontIndirectW, StretchBlt, SetDIBits, BitBlt, GetClipBox, DeleteObject> ADVAPI32.dll: RegSetValueExW, RegCloseKey, RegQueryValueExW, RegDeleteValueW, LookupAccountSidW( 0 exports )

Datei strcmd.dll empfangen 2008.09.12 16:34:23 (CET)
Status: Beendet
Ergebnis: 1/36 (2.78%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.13.0 2008.09.12 -
AntiVir 7.8.1.28 2008.09.12 -
Authentium 5.1.0.4 2008.09.12 -
Avast 4.8.1195.0 2008.09.12 -
AVG 8.0.0.161 2008.09.12 -
BitDefender 7.2 2008.09.12 -
CAT-QuickHeal 9.50 2008.09.12 -
ClamAV 0.93.1 2008.09.12 -
DrWeb 4.44.0.09170 2008.09.12 -
eSafe 7.0.17.0 2008.09.11 -
eTrust-Vet 31.6.6086 2008.09.12 -
Ewido 4.0 2008.09.12 -
F-Prot 4.4.4.56 2008.09.12 -
F-Secure 8.0.14332.0 2008.09.12 -
Fortinet 3.113.0.0 2008.09.12 -
GData 19 2008.09.12 -
Ikarus T3.1.1.34.0 2008.09.12 -
K7AntiVirus 7.10.452 2008.09.11 -
Kaspersky 7.0.0.125 2008.09.12 -
McAfee 5382 2008.09.11 -
Microsoft 1.3903 2008.09.12 -
NOD32v2 3437 2008.09.12 -
Norman 5.80.02 2008.09.12 -
Panda 9.0.0.4 2008.09.12 -
PCTools 4.4.2.0 2008.09.12 -
Prevx1 V2 2008.09.12 -
Rising 20.61.42.00 2008.09.12 -
Sophos 4.33.0 2008.09.12 Mal/EncPk-DG
Sunbelt 3.1.1628.1 2008.09.12 -
Symantec 10 2008.09.12 -
TheHacker 6.3.0.9.077 2008.09.10 -
TrendMicro 8.700.0.1004 2008.09.12 -
VBA32 3.12.8.5 2008.09.12 -
ViRobot 2008.9.12.1375 2008.09.12 -
VirusBuster 4.5.11.0 2008.09.12 -
Webwasher-Gateway 6.6.2 2008.09.12 -
weitere Informationen
File size: 110592 bytes
MD5...: 2442b97baaa8e5a129ffe64821d54a82
SHA1..: b728898b6bf3b7386fb64962b34c5dbf384ed0ea
SHA256: 23e372b766173a68ace129a742df36813bd46699ee6ee7f2feecc1168f26efd1
SHA512: 1c21319d8e21a8531afbac6b0188cb06a218763e806d5546f3ca5764e1d5a12c2a9ecabe14b8795f49f34afe633fa39cc2402b72a32d70f3338a24d4df96e9f4
PEiD..: -
TrID..: File type identificationWin32 Executable Generic (42.3%)Win32 Dynamic Link Library (generic) (37.6%)Generic Win/DOS Executable (9.9%)DOS Executable Generic (9.9%)Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information( base data )entrypointaddress.: 0x10007933timedatestamp.....: 0x48c78deb (Wed Sep 10 09:05:47 2008)machinetype.......: 0x14c (I386)( 4 sections )name viradd virsiz rawdsiz ntrpy md5.wyhe 0x1000 0x15340 0x16000 6.75 d1bb3fce65f0e8d352ce0ca39810eb08.dmxl 0x17000 0x7b2 0x1000 3.09 c6c836c8cfa9e322b2b5f3bdf9da640a.vzer 0x18000 0x1fb0 0x1000 0.53 9803329fa35aae96c481fee438ded053.reloc 0x1a000 0x1954 0x2000 6.00 133c4a872608c303b5eda23eb6f0def6( 4 imports ) > KERNEL32.dll: SetWaitableTimer, QueryDosDeviceW, FindClose, GetUserDefaultLangID, ReadProcessMemory, SetCurrentDirectoryW, GetProcAddress, CreateWaitableTimerW, TerminateThread, GetFileAttributesExW, InterlockedDecrement, WideCharToMultiByte, LoadLibraryA, LockResource, GetCurrentThread, GlobalDeleteAtom, CloseHandle, GetSystemTime, Sleep, GetFileAttributesW, lstrcpyW, FindResourceW, SetFilePointer, GetTickCount, MoveFileW, CreateThread, SetLastError, WriteFile> USER32.dll: GetSystemMetrics, IsDlgButtonChecked, IsWindow, WindowFromPoint, SetCapture, RegisterClassExW, SetLayeredWindowAttributes, TrackPopupMenu, GetWindowThreadProcessId, UpdateWindow, DefWindowProcW, CreatePopupMenu, EnableWindow, MessageBoxW, LoadCursorW, GetMessageW, ReleaseCapture, AppendMenuW, SystemParametersInfoW, GetSysColor> GDI32.dll: GetStockObject, SetBkMode, SetBkColor, CreateICW, BitBlt, MoveToEx, GetDeviceCaps, DPtoLP, CreateCompatibleDC, SelectObject, StretchBlt, GetMapMode, CreatePen> ADVAPI32.dll: LookupPrivilegeValueW, InitializeSecurityDescriptor, StartServiceW( 4 exports ) DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

Der Rest folgt auch gleich!

udo68 · 12.09.2008, 15:50

Logfile of The Avenger Version 2.0, (c) by Swandog46
Swandog46's Public Anti-Malware Tools

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at F:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "F:\WINDOWS\system32\rgtkjwxi.exe" deleted successfully.
File "F:\WINDOWS\system32\klmzexit.exe" deleted successfully.
File "F:\WINDOWS\system32\bmjuhijs.exe" deleted successfully.
File "F:\WINDOWS\system32\mfclwngv.exe" deleted successfully.
File "F:\WINDOWS\system32\kjidchab.exe" deleted successfully.
File "F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vatovcbw\biteraha.exe" deleted successfully.

Error: file "Folders do delete:" not found!
Deletion of file "Folders do delete:" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
--> the object does not exist

Error: "F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vatovcbw" is a folder, not a file!
Deletion of file "F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vatovcbw" failed!
Status: 0xc00000ba (STATUS_FILE_IS_A_DIRECTORY)
--> use "Folders to delete:" instead of "Files to delete:" to delete a directory

Completed script processing.

*******************

Finished! Terminate.

udo68 · 12.09.2008, 16:37

Malwarebytes' Anti-Malware 1.28
Datenbank Version: 1142
Windows 5.1.2600 Service Pack 3

12.09.2008 17:26:13
mbam-log-2008-09-12 (17-26-13).txt

Scan-Methode: Vollständiger Scan (C:\|F:\|)
Durchsuchte Objekte: 84107
Laufzeit: 21 minute(s), 16 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 47

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{6D20CF53-3DA9-9799-EB23-067B5C6F8003} (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\logons (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\typelib (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\iTunesMusic (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SYSTEM\currentcontrolset\Services\rdriv (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\wkey (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\mwc (Malware.Trace) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\strcmd (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\SystemCheck2 (Trojan.Agent) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
F:\WINDOWS\system32\smp (Fake.Dropped.Malware) -> Quarantined and deleted successfully.

Infizierte Dateien:
F:\Programme\ksamieg\strcmd.dll (Trojan.FakeAlert.H) -> Delete on reboot.
F:\WINDOWS\system32\smp\msrc.exe (Fake.Dropped.Malware) -> Quarantined and deleted successfully.
F:\WINDOWS\rundll16.exe (Fake.Dropped.Malware) -> Delete on reboot.
F:\WINDOWS\system32\akttzn.exe (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\anticipator.dll (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\awtoolb.dll (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\bdn.com (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\bsva-egihsg52.exe (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\dpcproxy.exe (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\emesx.dll (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\hoproxy.dll (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\hxiwlgpm.dat (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\hxiwlgpm.exe (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\medup012.dll (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\msgp.exe (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\msnbho.dll (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\mssecu.exe (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\msvchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\mtr2.exe (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\mwin32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\netode.exe (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\newsd32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\ps1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\psof1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\psoft1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\regc64.dll (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\regm64.dll (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\Rundl1.exe (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\sncntr.exe (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\ssurf022.dll (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\ssvchost.com (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\ssvchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\sysreq.exe (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\taack.dat (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\taack.exe (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\temp#01.exe (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\thun.dll (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\thun32.dll (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\VBIEWER.OCX (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\vcatchpi.dll (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\winlogonpc.exe (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\winsystem.exe (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\WINWGPX.EXE (Trojan.Agent) -> Quarantined and deleted successfully.
F:\WINDOWS\system32\vcmgcd32.dll (Trojan.Agent) -> Delete on reboot.
F:\WINDOWS\system32\vbsys2.dll (Trojan.Clicker) -> Quarantined and deleted successfully.
F:\WINDOWS\logo1_.exe (Worm.Viking) -> Delete on reboot.
F:\WINDOWS\system32\systems.txt (Trojan.FakeAlert) -> Delete on reboot.

ComboFix 08-09-11.02 - Udo1 2008-09-12 17:29:37.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.1.1031.18.677 [GMT 2:00]
ausgeführt von:: F:\Dokumente und Einstellungen\Udo1\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

F:\WINDOWS\Fonts\wst_germ.fon
F:\WINDOWS\regedit.com
F:\WINDOWS\system32\actskn43.ocx
F:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((( Dateien erstellt von 2008-08-12 bis 2008-09-12 ))))))))))))))))))))))))))))))
.

2008-09-12 16:58 . 2008-09-12 16:59 <DIR> d-------- F:\Programme\Malwarebytes' Anti-Malware
2008-09-12 16:58 . 2008-09-12 16:58 <DIR> d-------- F:\Dokumente und Einstellungen\Udo1\Anwendungsdaten\Malwarebytes
2008-09-12 16:58 . 2008-09-12 16:58 <DIR> d-------- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-09-12 16:58 . 2008-09-10 00:04 38,528 --a------ F:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-12 16:58 . 2008-09-10 00:03 17,200 --a------ F:\WINDOWS\system32\drivers\mbam.sys
2008-09-11 19:14 . 2008-09-11 19:14 <DIR> d-------- F:\WINDOWS\Content.IE5
2008-09-11 17:55 . 2008-09-11 17:55 <DIR> d-------- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MicroWorld
2008-09-11 17:55 . 2008-09-12 12:58 52 --a------ F:\WINDOWS\Lic.xxx
2008-09-11 17:52 . 2008-09-11 17:52 <DIR> d-------- F:\Programme\Lavasoft
2008-09-11 17:52 . 2008-09-11 17:53 <DIR> d-------- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-09-11 17:51 . 2008-09-11 17:51 <DIR> d-------- F:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-09-10 21:56 . 2008-09-10 21:56 <DIR> d-a------ F:\WINDOWS\zts2.exe
2008-09-10 21:56 . 2008-09-10 21:56 <DIR> d-a------ F:\WINDOWS\system32\iifgfgf.dll
2008-09-10 21:56 . 2008-09-10 21:56 <DIR> d-a------ F:\WINDOWS\rundl132.dll
2008-09-10 21:56 . 2008-09-10 21:57 4,607,682 --a------ F:\WINDOWS\REGBK00.ZIP
2008-09-10 21:17 . 2008-09-10 22:50 1,023,264 --ahs---- F:\WINDOWS\system32\drivers\fidbox.dat
2008-09-10 21:17 . 2008-09-10 21:17 32 --ahs---- F:\WINDOWS\system32\drivers\fidbox.idx
2008-09-10 21:15 . 2008-09-10 21:15 <DIR> d-------- F:\Dokumente und Einstellungen\LocalService\Eigene Dateien
2008-09-10 21:11 . 2008-09-10 21:58 <DIR> d-------- F:\PUB
2008-09-10 21:10 . 2008-09-10 21:10 <DIR> d-------- F:\Dokumente und Einstellungen\remoteservice\Vorlagen
2008-09-10 21:10 . 2008-09-10 21:10 <DIR> d-------- F:\Dokumente und Einstellungen\remoteservice\Startmenü
2008-09-10 21:10 . 2008-09-10 21:10 <DIR> d-------- F:\Dokumente und Einstellungen\remoteservice\Favoriten
2008-09-10 21:10 . 2008-09-10 21:10 <DIR> d-------- F:\Dokumente und Einstellungen\remoteservice\Dokumente
2008-09-10 21:10 . 2008-09-10 21:10 <DIR> d-------- F:\Dokumente und Einstellungen\remoteservice\Anwendungsdaten
2008-09-10 21:10 . 2008-09-10 21:10 <DIR> d-------- F:\Dokumente und Einstellungen\remoteservice
2008-09-10 21:10 . 2008-09-10 21:10 <DIR> d-------- F:\Dokumente und Einstellungen\LocalService\Vorlagen
2008-09-10 21:10 . 2008-09-10 21:10 <DIR> d-------- F:\Dokumente und Einstellungen\LocalService\Favoriten
2008-09-10 21:10 . 2008-09-10 21:10 <DIR> d-------- F:\Dokumente und Einstellungen\LocalService\Dokumente
2008-09-10 21:10 . 2008-04-14 04:22 153,600 --a------ F:\WINDOWS\R.COM
2008-09-10 21:10 . 2008-04-14 04:23 140,800 --a------ F:\WINDOWS\system32\T.COM
2008-09-10 21:10 . 2008-09-10 21:10 70,824 --a------ F:\WINDOWS\winsbak2.reg
2008-09-10 21:10 . 2008-09-10 21:10 9,106 --a------ F:\WINDOWS\winsbak.reg
2008-09-10 21:10 . 2008-02-03 21:04 210 --a------ F:\bootini.ins
2008-09-10 21:09 . 2008-09-10 21:58 <DIR> d-------- F:\Programme\Gemeinsame Dateien\MicroWorld
2008-09-10 18:10 . 2008-09-10 18:10 <DIR> d-------- F:\Programme\Panda Security
2008-09-10 18:10 . 2008-06-19 17:24 28,544 --a------ F:\WINDOWS\system32\drivers\pavboot.sys
2008-09-10 17:31 . 2008-09-10 17:31 <DIR> d-------- F:\!KillBox
2008-09-10 13:18 . 2008-09-12 17:27 <DIR> d-------- F:\Programme\ksamieg
2008-09-10 13:17 . 2008-09-12 16:48 <DIR> d-------- F:\Dokumente und Einstellungen\All Users\Anwendungsdaten\vatovcbw
2008-09-06 09:41 . 2008-09-06 09:41 <DIR> d-------- F:\WINDOWS\system32\bits
2008-09-06 09:41 . 2008-09-06 09:41 <DIR> d-------- F:\WINDOWS\l2schemas
2008-09-06 09:30 . 2008-04-14 04:22 290,304 --------- F:\WINDOWS\system32\rhttpaa.dll
2008-09-06 09:30 . 2008-04-14 04:22 69,120 --------- F:\WINDOWS\system32\wlanapi.dll
2008-09-06 09:30 . 2008-04-14 04:22 53,248 --------- F:\WINDOWS\system32\tsgqec.dll
2008-09-06 09:30 . 2008-04-14 04:22 50,688 --------- F:\WINDOWS\system32\tspkg.dll
2008-09-06 09:30 . 2008-04-14 04:23 32,768 --------- F:\WINDOWS\system32\setupn.exe
2008-09-06 09:30 . 2008-04-13 20:40 10,240 --------- F:\WINDOWS\system32\drivers\sffp_mmc.sys
2008-08-13 11:39 . 2008-04-11 21:04 691,712 -----c--- F:\WINDOWS\system32\dllcache\inetcomm.dll
2008-08-13 11:39 . 2008-05-01 16:34 331,776 -----c--- F:\WINDOWS\system32\dllcache\msadce.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-08-20 14:04 --------- d-----w F:\Programme\Spybot - Search & Destroy
2008-08-07 09:34 --------- d-----w F:\Programme\Gemeinsame Dateien\SWF Studio
2008-08-07 09:33 845,439 ----a-w F:\WINDOWS\heute-Bildschirmschoner 07.scr
2008-08-07 09:33 45,056 ----a-w F:\WINDOWS\NCUNINST.EXe
2008-08-07 09:33 40,960 ----a-w F:\WINDOWS\NCLAUNCH.EXe
2008-07-18 20:10 94,920 ----a-w F:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w F:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w F:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w F:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w F:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w F:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w F:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w F:\WINDOWS\system32\wuaueng.dll
2008-07-15 10:49 --------- d-----w F:\Programme\Java
2008-07-07 20:26 253,952 ----a-w F:\WINDOWS\system32\es.dll
2008-06-24 16:42 74,240 ----a-w F:\WINDOWS\system32\mscms.dll
2008-06-24 16:12 295,936 ------w F:\WINDOWS\system32\wmpeffects.dll
2008-06-20 17:46 247,296 ----a-w F:\WINDOWS\system32\mswsock.dll
2001-11-23 04:08 712,704 ----a-w F:\WINDOWS\inf\OTHER\audio3d.dll
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvMediaCenter"="F:\WINDOWS\system32\NVMCTRAY.DLL" [2003-10-06 49152]
"ctfmon.exe"="F:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
"NCLaunch"="F:\WINDOWS\NCLAUNCH.EXe" [2008-08-07 40960]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="F:\WINDOWS\system32\NvCpl.dll" [2003-10-06 5058560]
"SunJavaUpdateSched"="F:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"Adobe Reader Speed Launcher"="F:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"QuickTime Task"="F:\Programme\QuickTime\qttask.exe" [2008-02-01 385024]
"iTunesHelper"="F:\Programme\iTunes\iTunesHelper.exe" [2008-02-04 267048]
"avgnt"="F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-18 266497]
"SiSUSBRG"="F:\WINDOWS\SiSUSBrg.exe" [2002-07-12 106496]
"nwiz"="nwiz.exe" [2003-10-06 F:\WINDOWS\system32\nwiz.exe]
"C-Media Mixer"="Mixer.exe" [2002-08-05 F:\WINDOWS\mixer.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="F:\WINDOWS\System32\CTFMON.EXE" [2008-04-14 15360]

F:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - F:\Programme\Microsoft Office\Office\OSA9.EXE [1999-04-30 65588]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2008-04-14 04:22 15360 F:\WINDOWS\system32\ctfmon.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"F:\\Programme\\eMule\\emule.exe"=
"F:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"F:\\Programme\\Bonjour\\mDNSResponder.exe"=
"F:\\Programme\\iTunes\\iTunes.exe"=
"F:\\Programme\\Mozilla Firefox\\firefox.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"F:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"=

R0 pavboot;pavboot;F:\WINDOWS\system32\drivers\pavboot.sys [2008-06-19 28544]
R2 NMSAccessU;NMSAccessU;F:\Programme\CDBurnerXP\NMSAccessU.exe [2007-10-12 71096]

*Newly Created Service* - PROCEXP90
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl

.
------- Zusätzlicher Scan -------
.
FireFox -: Profile - F:\Dokumente und Einstellungen\Udo1\Anwendungsdaten\Mozilla\Firefox\Profiles\xtxlyog3.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/ig?client=firefox-a&rls=org.mozilla:de

fficial&ie=UTF-8&oe=UTF-8&hl=de&channel=s&q=&tab=iw
FF -: plugin - F:\Programme\DivX\DivX Content Uploader\npUpload.dll
FF -: plugin - F:\Programme\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - F:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-12 17:31:27
Windows 5.1.2600 Service Pack 3 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-09-12 17:33:04
ComboFix-quarantined-files.txt 2008-09-12 15:33:01

Pre-Run: 9 Verzeichnis(se), 220,842,868,736 Bytes frei
Post-Run: 11 Verzeichnis(se), 221,011,120,128 Bytes frei

151 --- E O F --- 2008-09-10 06:19:33

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:34:55, on 12.09.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\Programme\Lavasoft\Ad-Aware\aawservice.exe
F:\WINDOWS\system32\LEXBCES.EXE
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\system32\LEXPPS.EXE
F:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
F:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
F:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
F:\Programme\Bonjour\mDNSResponder.exe
F:\WINDOWS\system32\cisvc.exe
F:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
F:\Programme\CDBurnerXP\NMSAccessU.exe
F:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
F:\WINDOWS\system32\nvsvc32.exe
F:\WINDOWS\System32\snmp.exe
F:\WINDOWS\Mixer.exe
F:\Programme\Java\jre1.6.0_07\bin\jusched.exe
F:\Programme\iTunes\iTunesHelper.exe
F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
F:\WINDOWS\system32\ctfmon.exe
F:\WINDOWS\NCLAUNCH.EXe
F:\Programme\iPod\bin\iPodService.exe
F:\WINDOWS\explorer.exe
F:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - F:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "F:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SiSUSBRG] F:\WINDOWS\SiSUSBrg.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NCLaunch] F:\WINDOWS\NCLAUNCH.EXe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - F:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - F:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - F:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - F:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - F:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MWAgent - MicroWorld Technologies Inc. - F:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: NMSAccessU - Unknown owner - F:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5798 bytes

udo68 · 14.09.2008, 14:04

Erst dachte ich es wäre alles gelöscht, aber das System hängt sich immer wieder auf, so dass ich nur am Gehäuse direkt beenden kann.
Spybot blieb beim scannen hängen; bei der Suche Banker.R
Ich höre immer wieder ein knacken auf dem Board, das sich anhört wie das beim Booten.
Habe Malwarebyte´s Antimalware durchlaufen lassen, ohne Fund, poste jetzt ein Hijackthis-Logfile mit der Bitte um Auswertung.
Udo

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:01, on 2008-09-14
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\Explorer.EXE
F:\Programme\Lavasoft\Ad-Aware\aawservice.exe
F:\WINDOWS\system32\LEXBCES.EXE
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\system32\LEXPPS.EXE
F:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
F:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
F:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
F:\Programme\Bonjour\mDNSResponder.exe
F:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
F:\Programme\CDBurnerXP\NMSAccessU.exe
F:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
F:\WINDOWS\system32\nvsvc32.exe
F:\WINDOWS\System32\snmp.exe
F:\WINDOWS\Mixer.exe
F:\Programme\Java\jre1.6.0_07\bin\jusched.exe
F:\WINDOWS\system32\ctfmon.exe
F:\Programme\iTunes\iTunesHelper.exe
F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
F:\WINDOWS\system32\RUNDLL32.EXE
F:\WINDOWS\NCLAUNCH.EXe
F:\Programme\iPod\bin\iPodService.exe
F:\Programme\Mozilla Firefox\firefox.exe
F:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - F:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "F:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "F:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SiSUSBRG] F:\WINDOWS\SiSUSBrg.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NCLaunch] F:\WINDOWS\NCLAUNCH.EXe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - F:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - F:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - F:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - F:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - F:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - F:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: MWAgent - MicroWorld Technologies Inc. - F:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: NMSAccessU - Unknown owner - F:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5840 bytes

Chris4You · 15.09.2008, 06:54

Hi,

das HJ-Log sieht sauber aus....

Das Board knackt wie beim Booten...
Prüfen wir mal den Bootsektor:
Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte:
http://www2.gmer.net/mbr/mbr.exe
Merke Dir das Verzeichnis wo Du ihn runtergeladen hast;
Start->Ausführen->cmd
Wechsle in das Verzeichnis des Downloads und starte durch Eingabe
von mbr das Programm...

Das Ergebnis sollte so aussehen:

Zitat:

D:\Downloads>mbr
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

In dem Verzeichnis wo mbr.exe liegt findest Du das Log,

poste es im Thread;

Bei was stürzt der Rechner ab? Wenn Du was im Explorer machst oder einfach so?

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:

Als erstes versteckte Dateien anzeigen lassen! (nur Punkt 1 durchführen!)

Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:

Code:

ATTFilter

F:\WINDOWS\R.COM
F:\WINDOWS\system32\T.COM

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)

Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.

Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Scann mal mit Prevx und poste das Log:
http://www.prevx.com/freescan.asp

chris

Ps.: Bin bis Donnerstag unterwegs...

udo68 · 15.09.2008, 17:39

Hallo Chris,
danke erstma!
Eben beim Logfile kopieren und jetzt beim Schreiben machte er wieder Ansätze zum Booten?!?
Ansonsten bis jetzt (40 min) keine Probleme!
Gestern ist er mir mindestens 5 mal einfach stehen geblieben, ging nicht mal Strg-Alt-Ent .
Auch das neu booten funktioniert nicht immer auf Anhieb, manchmal im abgesicherten Modus mal normal, ?!
Kann es evtl. ein Hardwaredefekt sein?

Die Logfiles:

Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

udo68 · 15.09.2008, 17:43

hab den Inhalt gelöscht, war zu groß!

Prevx CSI Log - Version v1.9.112.171
Log Generated: 15/9/2008 18:19, Type: 0
Some non-malicious files are not included in this log.
********************************************************************
Summary:
No malicious items found during the last scan

End of PrevxCSI Log - Prevx - Customer and Network Security and Breach Management

Datei T.COM empfangen 2008.09.15 18:08:49 (CET)
Status: Beendet
Ergebnis: 0/36 (0%)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.13.0 2008.09.15 -
AntiVir 7.8.1.28 2008.09.15 -
Authentium 5.1.0.4 2008.09.14 -
Avast 4.8.1195.0 2008.09.14 -
AVG 8.0.0.161 2008.09.15 -
BitDefender 7.2 2008.09.15 -
CAT-QuickHeal 9.50 2008.09.15 -
ClamAV 0.93.1 2008.09.15 -
DrWeb 4.44.0.09170 2008.09.15 -
eSafe 7.0.17.0 2008.09.15 -
eTrust-Vet 31.6.6090 2008.09.15 -
Ewido 4.0 2008.09.15 -
F-Prot 4.4.4.56 2008.09.14 -
F-Secure 8.0.14332.0 2008.09.15 -
Fortinet 3.113.0.0 2008.09.15 -
GData 19 2008.09.15 -
Ikarus T3.1.1.34.0 2008.09.15 -
K7AntiVirus 7.10.457 2008.09.15 -
Kaspersky 7.0.0.125 2008.09.15 -
McAfee 5383 2008.09.12 -
Microsoft 1.3903 2008.09.15 -
NOD32v2 3443 2008.09.15 -
Norman 5.80.02 2008.09.15 -
Panda 9.0.0.4 2008.09.15 -
PCTools 4.4.2.0 2008.09.15 -
Prevx1 V2 2008.09.15 -
Rising 20.61.42.00 2008.09.12 -
Sophos 4.33.0 2008.09.15 -
Sunbelt 3.1.1633.1 2008.09.13 -
Symantec 10 2008.09.15 -
TheHacker 6.3.0.9.083 2008.09.15 -
TrendMicro 8.700.0.1004 2008.09.15 -
VBA32 3.12.8.5 2008.09.15 -
ViRobot 2008.9.12.1375 2008.09.12 -
VirusBuster 4.5.11.0 2008.09.15 -
Webwasher-Gateway 6.6.2 2008.09.15 -
weitere Informationen
File size: 140800 bytes
MD5...: b198cb3b0689b10fdc4c8ccf8c3c3289
SHA1..: bc4b968b213bc87ce3ae38f73ebc828975f9df8a
SHA256: c3825263a7d5a7a1114233cee7b6c129689e81cba8fffdce964d061418165308
SHA512: 9977dc85c7f2ff3748e24b193e47ae04e8c698ff339931206012b43a32433bf5b8e319a00e44440520c98fff86bf2be2787504b95b72076f881349fa40bbe942
PEiD..: -
TrID..: File type identificationWin32 Executable MS Visual C++ (generic) (65.2%)Win32 Executable Generic (14.7%)Win32 Dynamic Link Library (generic) (13.1%)Generic Win/DOS Executable (3.4%)DOS Executable Generic (3.4%)
PEInfo: PE Structure information( base data )entrypointaddress.: 0x1005944timedatestamp.....: 0x48025274 (Sun Apr 13 18:35:32 2008)machinetype.......: 0x14c (I386)( 3 sections )name viradd virsiz rawdsiz ntrpy md5.text 0x1000 0x13f1a 0x14000 6.44 6023fb54332a750c6bd1e4e4b44ab0c5.data 0x15000 0x170c 0x600 2.79 44a98784179a334c27cbc27b57643de2.rsrc 0x17000 0xdbb8 0xdc00 3.81 05820a56bdfb477b87c3b8db51b46f77( 11 imports ) > ADVAPI32.dll: RegCloseKey, RegQueryValueExW, RegOpenKeyExW, RegSetValueExW, RegCreateKeyExW, IsValidSid, AdjustTokenPrivileges, OpenThreadToken, OpenProcessToken, RegOpenKeyExA, RegQueryValueExA, LookupPrivilegeValueW> KERNEL32.dll: GetProcessAffinityMask, OpenProcess, MultiByteToWideChar, GetThreadTimes, TerminateProcess, GetPriorityClass, lstrcmpW, SetEvent, CreateEventW, GetComputerNameW, Sleep, FreeLibrary, SetProcessAffinityMask, LoadLibraryA, QueryPerformanceCounter, GetSystemTimeAsFileTime, GetCurrentDirectoryW, SetUnhandledExceptionFilter, lstrcmpiW, GetTickCount, HeapSize, GetProcAddress, GetNumberFormatW, HeapReAlloc, lstrlenW, GetCurrentProcess, SetPriorityClass, GetCommandLineW, GetStartupInfoW, GetModuleHandleW, ExitProcess, CreateMutexW, GetCurrentProcessId, ProcessIdToSessionId, ReleaseMutex, SetProcessShutdownParameters, WaitForSingleObject, ExpandEnvironmentStringsW, CreateProcessW, GetCurrentThreadId, FormatMessageW, lstrcatW, GetVersionExW, GetLocaleInfoW, LocalAlloc, LocalFree, HeapFree, HeapAlloc, GetProcessHeap, CreateThread, CloseHandle, lstrcpynW, lstrcpyW, GetLastError, LoadLibraryW, InterlockedCompareExchange, GetVersionExA, IsBadWritePtr, SetLastError, GetCurrentThread, DelayLoadFailureHook, UnhandledExceptionFilter> GDI32.dll: CreateFontIndirectW, GetCharWidth32W, CreateCompatibleBitmap, Rectangle, SetBkMode, SetTextColor, CreateCompatibleDC, DeleteDC, GetCurrentObject, GetObjectW, BitBlt, SelectObject, MoveToEx, LineTo, CreatePen, GetStockObject, CreateRectRgn, DeleteObject, CreateSolidBrush, CombineRgn, SetRectRgn, GetDeviceCaps, FillRgn> USER32.dll: DestroyIcon, LoadImageW, BeginDeferWindowPos, GetMenuItemCount, EnableMenuItem, GetSystemMetrics, SetMenuItemInfoW, LoadMenuW, DestroyMenu, ExitWindowsEx, LockWorkStation, GetAsyncKeyState, SetForegroundWindow, OpenIcon, LoadAcceleratorsW, MessageBoxW, CheckDlgButton, EndDialog, GetWindowTextW, IsDlgButtonChecked, GetSubMenu, InvalidateRect, GetSysColor, MonitorFromRect, SetTimer, LoadIconW, GetThreadDesktop, GetDialogBaseUnits, KillTimer, GetDesktopWindow, DestroyWindow, MessageBeep, MoveWindow, PostQuitMessage, IsZoomed, DispatchMessageW, TranslateMessage, IsDialogMessageW, TranslateAcceleratorW, GetMessageW, CreateDialogParamW, SendMessageTimeoutW, AllowSetForegroundWindow, GetWindowThreadProcessId, FindWindowW, RegisterWindowMessageW, FillRect, DrawTextW, UpdateWindow, GetDlgCtrlID, SetFocus, CreateWindowExW, DialogBoxParamW, GetShellWindow, SetScrollPos, GetScrollInfo, IsWindow, EnableWindow, GetFocus, CharLowerBuffW, TrackPopupMenuEx, GetGuiResources, EnumWindowStationsW, GetClassLongW, IsHungAppWindow, InternalGetWindowText, IsWindowVisible, GetWindow, SetMenuDefaultItem, EnumWindows, CloseDesktop, SetThreadDesktop, OpenDesktopW, EnumDesktopsW, CloseWindowStation, SetProcessWindowStation, GetProcessWindowStation, OpenWindowStationW, CascadeWindows, TileWindows, SwitchToThisWindow, GetLastActivePopup, EndTask, PostMessageW, ShowWindowAsync, GetCursorPos, SetDlgItemTextW, GetParent, GetWindowTextLengthW, SetRect, SetCursor, LoadCursorW, GetWindowRect, DeferWindowPos, EndDeferWindowPos, GetMenuItemInfoW, IsIconic, BeginPaint, EndPaint, DrawEdge, GetForegroundWindow, GetKeyState, PostThreadMessageW, wsprintfW, GetClientRect, SetScrollInfo, ShowWindow, SetWindowPos, SetMenu, GetDlgItem, MapWindowPoints, SendMessageW, GetMenu, CheckMenuRadioItem, CheckMenuItem, DeleteMenu, LoadStringW, SetWindowTextW, GetClassInfoW, RegisterClassW, GetDC, ReleaseDC, SystemParametersInfoW, GetWindowLongW, SetWindowLongW, CallWindowProcW, DefWindowProcW, RemoveMenu, GetWindowLongA> ntdll.dll: _chkstk, _snwprintf, RtlUnwind, _wcsicmp, NtQueryVirtualMemory, NtOpenThread, NtClose, strrchr, RtlLargeIntegerToChar, RtlAnsiStringToUnicodeString, _ui64tow, mbstowcs, memmove, NtQuerySystemInformation, wcstol, NtShutdownSystem, NtInitiatePowerAction, NtPowerInformation, RtlTimeToElapsedTimeFields> iphlpapi.dll: GetInterfaceInfo, GetNumberOfInterfaces, NhGetInterfaceNameFromDeviceGuid, GetIfEntry> COMCTL32.dll: -, ImageList_Remove, ImageList_ReplaceIcon, ImageList_SetIconSize, ImageList_Create, CreateStatusWindowW> SHLWAPI.dll: StrStrIW, -, StrFormatByteSizeW, -, wnsprintfW> SHELL32.dll: Shell_NotifyIconW, -, ShellAboutW, -, -, -, -> Secur32.dll: GetUserNameExW> VDMDBG.dll: VDMEnumTaskWOWEx, VDMTerminateTaskWOW( 0 exports )
ThreatExpert info: ThreatExpert Report

Datei R.COM empfangen 2008.09.15 18:11:41 (CET)
Status: Beendet
Ergebnis: 0/36 (0%)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.9.13.0 2008.09.15 -
AntiVir 7.8.1.28 2008.09.15 -
Authentium 5.1.0.4 2008.09.14 -
Avast 4.8.1195.0 2008.09.14 -
AVG 8.0.0.161 2008.09.15 -
BitDefender 7.2 2008.09.15 -
CAT-QuickHeal 9.50 2008.09.15 -
ClamAV 0.93.1 2008.09.15 -
DrWeb 4.44.0.09170 2008.09.15 -
eSafe 7.0.17.0 2008.09.15 -
eTrust-Vet 31.6.6090 2008.09.15 -
Ewido 4.0 2008.09.15 -
F-Prot 4.4.4.56 2008.09.14 -
F-Secure 8.0.14332.0 2008.09.15 -
Fortinet 3.113.0.0 2008.09.15 -
GData 19 2008.09.15 -
Ikarus T3.1.1.34.0 2008.09.15 -
K7AntiVirus 7.10.457 2008.09.15 -
Kaspersky 7.0.0.125 2008.09.15 -
McAfee 5383 2008.09.12 -
Microsoft 1.3903 2008.09.15 -
NOD32v2 3443 2008.09.15 -
Norman 5.80.02 2008.09.15 -
Panda 9.0.0.4 2008.09.15 -
PCTools 4.4.2.0 2008.09.15 -
Prevx1 V2 2008.09.15 -
Rising 20.61.42.00 2008.09.12 -
Sophos 4.33.0 2008.09.15 -
Sunbelt 3.1.1633.1 2008.09.13 -
Symantec 10 2008.09.15 -
TheHacker 6.3.0.9.083 2008.09.15 -
TrendMicro 8.700.0.1004 2008.09.15 -
VBA32 3.12.8.5 2008.09.15 -
ViRobot 2008.9.12.1375 2008.09.12 -
VirusBuster 4.5.11.0 2008.09.15 -
Webwasher-Gateway 6.6.2 2008.09.15 -
weitere Informationen
File size: 153600 bytes
MD5...: ad9226bf3ced13636083bb9c76e9d2a2
SHA1..: 5192bd0e6cbbb4074172463804f8ffb0fab916e4
SHA256: 832faa57842c1bc8343ce0934f66d85fa2852ffcb16011902a67ecf9d0cd8241
SHA512: 63d140f04ade495036de8168621832bb8c4ea7b17cf46df4fcbb756bcfc512907cdfcb9b872032a14e960ef6be98d6b8a73cb54a44ab5fcedb6f6a637dc8418e
PEiD..: -
TrID..: File type identificationWin32 Executable MS Visual C++ (generic) (53.1%)Windows Screen Saver (18.4%)Win32 Executable Generic (12.0%)Win32 Dynamic Link Library (generic) (10.6%)Generic Win/DOS Executable (2.8%)
PEInfo: PE Structure information( base data )entrypointaddress.: 0x101691etimedatestamp.....: 0x48025214 (Sun Apr 13 18:33:56 2008)machinetype.......: 0x14c (I386)( 3 sections )name viradd virsiz rawdsiz ntrpy md5.text 0x1000 0x17902 0x17a00 6.37 c955a3871382133757b77b2ef8713803.data 0x19000 0x40da0 0x400 1.20 def7edb164ce2210badeb06959cdaa48.rsrc 0x5a000 0xd510 0xd600 3.70 e285afbe730d03d7363a5527697d112a( 14 imports ) > msvcrt.dll: __p__commode, _adjust_fdiv, __p__fmode, _initterm, __getmainargs, _acmdln, __set_app_type, _except_handler3, __setusermatherr, _controlfp, exit, _XcptFilter, _exit, _c_exit, swprintf, iswprint, wcsncpy, wcslen, wcscat, wcscpy, _purecall, iswctype, wcscmp, wcschr, wcsncmp, wcsrchr, _cexit, memmove> ADVAPI32.dll: RegQueryValueExA, RegOpenKeyExA, InitializeSecurityDescriptor, RegDeleteValueW, InitializeAcl, SetSecurityDescriptorDacl, SetSecurityDescriptorSacl, SetSecurityDescriptorOwner, SetSecurityDescriptorGroup, GetInheritanceSourceW, LookupAccountSidW, GetSidSubAuthorityCount, GetSidSubAuthority, GetSecurityDescriptorControl, GetSecurityDescriptorOwner, GetSecurityDescriptorGroup, GetSecurityDescriptorDacl, GetSecurityDescriptorSacl, SetSecurityInfo, SetNamedSecurityInfoW, GetNamedSecurityInfoW, MapGenericMask, RegSetValueExA, RegSetValueW, RegFlushKey, RegSaveKeyW, RegRestoreKeyW, RegConnectRegistryW, RegQueryValueExW, RegCloseKey, RegOpenKeyW, RegSetValueExW, RegCreateKeyW, RegEnumValueW, RegEnumKeyW, AdjustTokenPrivileges, LookupPrivilegeValueW, OpenProcessToken, RegUnLoadKeyW, RegLoadKeyW, RegOpenKeyExW, RegQueryInfoKeyW, RegDeleteKeyW> KERNEL32.dll: ReadFile, DeleteFileW, WriteFile, WideCharToMultiByte, CreateFileW, OutputDebugStringW, GetLastError, SetFilePointer, GetFileSize, SearchPathW, GetTimeFormatW, GetDateFormatW, GetSystemDefaultLCID, FileTimeToSystemTime, FileTimeToLocalFileTime, FreeLibrary, LoadLibraryW, MulDiv, lstrcpynW, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, GetModuleHandleA, GetStartupInfoA, MultiByteToWideChar, lstrcmpW, FormatMessageW, GetThreadLocale, GetModuleHandleW, ExitProcess, GetCommandLineW, GetProcessHeap, lstrcatW, LocalAlloc, GetCurrentProcess, CloseHandle, LocalFree, GetComputerNameW, lstrcmpiW, lstrlenW, lstrcpyW, LocalReAlloc, GlobalAlloc, GlobalLock, GlobalUnlock, GetProcAddress, LoadLibraryA> GDI32.dll: GetStockObject, SetAbortProc, StartDocW, StartPage, SetViewportOrgEx, EndPage, EndDoc, AbortDoc, DeleteDC, CreateBitmap, CreatePatternBrush, PatBlt, ExcludeClipRect, SelectClipRgn, DeleteObject, SetBkColor, SetTextColor, ExtTextOutW, GetDeviceCaps, CreateFontIndirectW, SelectObject, GetTextMetricsW> USER32.dll: SendDlgItemMessageW, SetDlgItemTextW, SetWindowLongW, DefWindowProcW, ReleaseDC, GetDC, SetScrollInfo, wsprintfW, DestroyCaret, ReleaseCapture, KillTimer, SetCaretPos, ScrollWindowEx, ShowCaret, HideCaret, InvalidateRect, CloseClipboard, SetClipboardData, EmptyClipboard, OpenClipboard, GetClipboardData, WinHelpW, EndDialog, GetWindowLongW, EndPaint, BeginPaint, CreateCaret, SetTimer, SetCapture, SetFocus, CharLowerW, GetDlgItem, DestroyMenu, TrackPopupMenuEx, IsClipboardFormatAvailable, EnableMenuItem, GetSubMenu, LoadMenuW, GetKeyState, RegisterClassW, LoadCursorW, RegisterClipboardFormatW, CheckRadioButton, SendMessageW, GetWindowTextW, GetParent, GetDlgItemTextW, IsDlgButtonChecked, GetDlgCtrlID, CallWindowProcW, GetWindowTextLengthW, GetDlgItemInt, PostQuitMessage, GetWindowPlacement, SetWindowTextW, EnableWindow, GetWindowRect, DrawMenuBar, InsertMenuItemW, DeleteMenu, SetMenuItemInfoW, GetMenu, GetMenuItemInfoW, EndDeferWindowPos, DeferWindowPos, BeginDeferWindowPos, IsIconic, DestroyIcon, LoadImageW, GetSysColor, SetCursor, ShowCursor, ShowWindow, SetWindowPlacement, CreateWindowExW, GetProcessDefaultLayout, GetMessageW, ScreenToClient, SetCursorPos, DispatchMessageW, ClientToScreen, GetDesktopWindow, LoadIconW, PostMessageW, SetMenuDefaultItem, InsertMenuW, GetMenuItemID, CheckMenuItem, UpdateWindow, RegisterClassExW, CharNextW, GetClientRect, DestroyWindow, CreateDialogParamW, CheckDlgButton, DrawAnimatedRects, IntersectRect, ModifyMenuW, GetMessagePos, TranslateMessage, TranslateAcceleratorW, LoadAcceleratorsW, SetForegroundWindow, GetLastActivePopup, BringWindowToTop, FindWindowW, LoadStringW, GetWindow, IsDialogMessageW, PeekMessageW, MessageBoxW, CharUpperBuffW, CharUpperW, IsCharAlphaNumericW, GetSystemMetrics, MoveWindow, MapWindowPoints, DialogBoxParamW, SetWindowPos, MessageBeep> COMCTL32.dll: -, -, -, -, InitCommonControlsEx, -, -, ImageList_SetBkColor, ImageList_Create, ImageList_Destroy, -, -, ImageList_ReplaceIcon, -, -, -, -, CreateStatusWindowW> comdlg32.dll: GetOpenFileNameW, GetSaveFileNameW, PrintDlgExW> SHELL32.dll: ShellAboutW, DragQueryFileW, DragFinish> AUTHZ.dll: AuthzInitializeContextFromSid, AuthzAccessCheck, AuthzFreeContext, AuthzFreeResourceManager, AuthzInitializeResourceManager> ACLUI.dll: -> ole32.dll: CoCreateInstance, CoUninitialize, CoInitializeEx, ReleaseStgMedium> ulib.dll: _Resize@DSTRING@@UAEEK@Z, _Initialize@ARRAY@@QAEEKK@Z, _NewBuf@DSTRING@@UAEEK@Z, __1DSTRING@@UAE@XZ, __1OBJECT@@UAE@XZ, __0OBJECT@@IAE@XZ, _Compare@OBJECT@@UBEJPBV1@@Z, __0DSTRING@@QAE@XZ, _Initialize@WSTRING@@QAEEPBV1@KK@Z, _Strcat@WSTRING@@QAEEPBV1@@Z, __0ARRAY@@QAE@XZ, _Initialize@WSTRING@@QAEEPBGK@Z> clb.dll: ClbAddData, ClbSetColumnWidths> ntdll.dll: RtlFreeHeap, RtlAllocateHeap( 0 exports )
ThreatExpert info: ThreatExpert Report

virtumonde, smitfraud und "windows security alert"

Plagegeister aller Art und deren Bekämpfung: virtumonde, smitfraud und "windows security alert"