Avira Antivir findet Trojaner a.bat

Basti255 · 24.11.2008, 17:27

Hallo,
Mein Antivir findet immer den Virus in der Datei a.bat. Durch nachlesen hab ich erfahren, dass es sich um einen Trojaner handelt.
Kann ihn immer löschen oder Zugriff verweigern, doch beim Neustart kommt die Fehlermeldung sofort wieder. Jetzt auch noch 2 weitere Meldungen den Eigenen Datein.
Bitte helft mir den Virus zu löschen. Bin dankbar über Programme dazu.
Hijackthis sag folgendes dazu:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:19:26, on 24.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\slserv.exe
c:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\PROGRA~1\ICQ6\ICQ.exe
C:\WINDOWS\system32\syx.exe
C:\Programme\Nokia\Nokia PC Suite 6\PCSync2.exe
C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\PC Connectivity Solution\ServiceLayer.exe
C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\Programme\PC Connectivity Solution\Transports\NclMSBTSrv.exe
C:\Programme\Gemeinsame Dateien\Nokia\MPAPI\MPAPI3s.exe
C:\Programme\Skype\Plugin Manager\SkypePM.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HP\Smart Web Printing\hpswp_clipbook.exe
C:\DOKUME~1\SEBAST~1\LOKALE~1\Temp\Rar$EX00.578\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programme\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - C:\Programme\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [myspacce] C:\WINDOWS\system32:myspacce.exe
O4 - HKLM\..\Run: [System Updater Machine ] syx.exe
O4 - HKLM\..\RunServices: [System Updater Machine ] syx.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ICQ] "C:\PROGRA~1\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Programme\Nokia\Nokia PC Suite 6\PCSync2.exe" /NoDialog
O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 6\PCSuite.exe" -onlytray
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: ShopperReports - Compare product prices - {C5428486-50A0-4a02-9D20-520B59A9F9B2} - C:\Programme\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
O9 - Extra button: ShopperReports - Compare travel rates - {C5428486-50A0-4a02-9D20-520B59A9F9B3} - C:\Programme\ShoppingReport\Bin\2.5.0\ShoppingReport.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://www.schueler.cc/uploader/ImageUploader5.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?978306409921
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) - http://javadl-esd.sun.com/update/1.4.2/jinstall-1_4_2-windows-i586.cab
O16 - DPF: {BA162249-F2C5-4851-8ADC-FC58CB424243} - http://www.schueler.cc/uploader/ImageUploader5.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game08.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 9930 bytes

cosinus · 24.11.2008, 17:43

Hallo und

Acker diese Punkte für weitere Analysen ab:

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

ATTFilter

C:\WINDOWS\system32\syx.exe
C:\Programme\ShoppingReport\Bin\2.5.0\ShoppingReport.dll

2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten. Vor dem Ausführen von Malwarebytes den Wächter Deines Virenscanners abschalten!!

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:

[code] Hier das Logfile rein! [/code]

7.) Mach auch ein Filelisting mit diesem script:

Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
Doppelklick auf listing8.cmd auf dem Desktop
nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

8.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!

Basti255 · 24.11.2008, 17:56

[ danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
[CODE]
C:\WINDOWS\system32\syx.exe

Datei syx.exe empfangen 2008.11.24 17:50:14 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 6/37 (16.22%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 2.
Geschätzte Startzeit is zwischen 46 und 66 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.11.24.3 2008.11.24 -
AntiVir 7.9.0.35 2008.11.24 -
Authentium 5.1.0.4 2008.11.24 -
Avast 4.8.1281.0 2008.11.23 -
AVG 8.0.0.199 2008.11.24 PSW.OnlineGames.BHOQ
BitDefender 7.2 2008.11.24 -
CAT-QuickHeal 10.00 2008.11.24 -
ClamAV 0.94.1 2008.11.24 -
DrWeb 4.44.0.09170 2008.11.24 -
eSafe 7.0.17.0 2008.11.24 -
eTrust-Vet 31.6.6225 2008.11.24 -
Ewido 4.0 2008.11.24 -
F-Prot 4.4.4.56 2008.11.24 -
F-Secure 8.0.14332.0 2008.11.24 Trojan-GameThief.Win32.Steam.a
Fortinet 3.117.0.0 2008.11.24 -
GData 19 2008.11.24 -
Ikarus T3.1.1.45.0 2008.11.24 Trojan-GameThief.Win32.Steam
K7AntiVirus 7.10.532 2008.11.24 -
Kaspersky 7.0.0.125 2008.11.24 Trojan-GameThief.Win32.Steam.a
McAfee 5443 2008.11.23 -
McAfee+Artemis 5443 2008.11.23 Generic!Artemis
Microsoft 1.4104 2008.11.24 -
NOD32 3636 2008.11.24 -
Norman 5.80.02 2008.11.22 -
Panda 9.0.0.4 2008.11.24 -
PCTools 4.4.2.0 2008.11.24 -
Prevx1 V2 2008.11.24 -
Rising 21.05.02.00 2008.11.24 -
SecureWeb-Gateway 6.7.6 2008.11.24 -
Sophos 4.35.0 2008.11.24 -
Sunbelt 3.1.1823.2 2008.11.22 -
Symantec 10 2008.11.24 -
TheHacker 6.3.1.1.161 2008.11.24 -
TrendMicro 8.700.0.1004 2008.11.24 -
VBA32 3.12.8.9 2008.11.23 -
ViRobot 2008.11.24.1483 2008.11.24 Spyware.PSW.Steam.436224
VirusBuster 4.5.11.0 2008.11.24 -
weitere Informationen
File size: 436224 bytes
MD5...: 75758e26f7e9bb7f08c17d2647106faf
SHA1..: c180a88c620805f4f028a58e53518291ae2a0863
SHA256: 97bce4a45d9ebacdb827a1b9b4d189d10105df2ab448aca446bf858e81fb060e
SHA512: 4b07cc1d4c5637f608ed9b4152f5b8629f5236fd45520a85ed5cdf8555badd4b
0aa5fc402782f27a8b55e978e179e2494a798219ad7415010732f48e77360a0f

ssdeep: 12288:8tScgBUK6cSAjC063pcgBUK6cSAjC0639:5JZSAjChpJZSAjCh9

PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40157d
timedatestamp.....: 0x490b872b (Fri Oct 31 22:31:07 2008)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4118 0x4200 6.56 5cf0331094d6b192740385f2e71daed1
.rdata 0x6000 0x12ee 0x1400 4.63 97ba66453be6ebfb984edd6924021678
.data 0x8000 0x858 0x400 2.14 90a9bb3cf9b1b42d9218fccf7a10887d
.rsrc 0x9000 0x32498 0x32600 8.00 151d811c0f2fe386df06f849540a992a

( 1 imports )
> KERNEL32.dll: GetProcAddress, GetModuleHandleA, LoadLibraryA, LoadResource, SizeofResource, FindResourceA, CreateMutexA, OpenMutexA, GetModuleFileNameA, ExitProcess, GetStartupInfoA, GetCommandLineA, GetVersionExA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, WriteFile, GetStdHandle, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, WideCharToMultiByte, GetLastError, GetEnvironmentStringsW, SetHandleCount, GetFileType, HeapDestroy, HeapCreate, VirtualFree, HeapFree, RtlUnwind, InterlockedExchange, VirtualQuery, GetACP, GetOEMCP, GetCPInfo, HeapAlloc, VirtualAlloc, HeapReAlloc, HeapSize, LCMapStringA, MultiByteToWideChar, LCMapStringW, GetStringTypeA, GetStringTypeW, GetLocaleInfoA, VirtualProtect, GetSystemInfo

( 0 exports )

ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=75758e26f7e9bb7f08c17d2647106faf

cosinus · 24.11.2008, 17:58

Code:

ATTFilter

Kaspersky 7.0.0.125 2008.11.24 Trojan-GameThief.Win32.Steam.a

Du spielst nicht zufällig Steam-basierte Spiele?

Basti255 · 24.11.2008, 18:01

nein ich spiele garkeine spiele mit diesem computer...viel zu leistungsschwach

cosinus · 24.11.2008, 18:02

Ok. Weil sonst hättest Du wohl ein Problem. Du hast da nämlich Malware drin, die Steam-Daten stiehlt...

Acker bitte die Liste weiter ab.

Basti255 · 24.11.2008, 18:02

danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:
C:\Programme\ShoppingReport\Bin\2.5.0\ShoppingReport.dll

Datei ShoppingReport.dll empfangen 2008.11.24 17:57:49 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 24/37 (64.87%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit is zwischen 54 und 77 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.11.24.3 2008.11.24 -
AntiVir 7.9.0.35 2008.11.24 ADSPY/Shopper.V.1
Authentium 5.1.0.4 2008.11.24 W32/Adware.ABWN
Avast 4.8.1281.0 2008.11.23 -
AVG 8.0.0.199 2008.11.24 -
BitDefender 7.2 2008.11.24 Adware.Generic.29279
CAT-QuickHeal 10.00 2008.11.24 -
ClamAV 0.94.1 2008.11.24 -
DrWeb 4.44.0.09170 2008.11.24 Adware.Shoper
eSafe 7.0.17.0 2008.11.24 -
eTrust-Vet 31.6.6225 2008.11.24 -
Ewido 4.0 2008.11.24 Not-A-Virus.Adware.Shopper
F-Prot 4.4.4.56 2008.11.24 W32/Adware.ABWN
F-Secure 8.0.14332.0 2008.11.24 AdWare.Win32.Shopper.v
Fortinet 3.117.0.0 2008.11.24 Adware/Shopper
GData 19 2008.11.24 Adware.Generic.29279
Ikarus T3.1.1.45.0 2008.11.24 not-a-virus:AdWare.Win32.Shopper.v
K7AntiVirus 7.10.532 2008.11.24 not-a-virus:AdWare.Win32.Shopper.v
Kaspersky 7.0.0.125 2008.11.24 not-a-virus:AdWare.Win32.Shopper.v
McAfee 5443 2008.11.23 potentially unwanted program SmartShopper
McAfee+Artemis 5443 2008.11.23 potentially unwanted program SmartShopper
Microsoft 1.4104 2008.11.24 Adware:Win32/ZangoShoppingreports
NOD32 3636 2008.11.24 Win32/Adware.Toolbar.Shopper
Norman 5.80.02 2008.11.22 W32/Shopper.AD
Panda 9.0.0.4 2008.11.24 -
PCTools 4.4.2.0 2008.11.24 -
Prevx1 V2 2008.11.24 -
Rising 21.05.02.00 2008.11.24 -
SecureWeb-Gateway 6.7.6 2008.11.24 Ad-Spyware.Shopper.V.1
Sophos 4.35.0 2008.11.24 -
Sunbelt 3.1.1823.2 2008.11.22 Hotbar.ShopperReports
Symantec 10 2008.11.24 Adware.Hotbar
TheHacker 6.3.1.1.161 2008.11.24 Adware/Shopper.v
TrendMicro 8.700.0.1004 2008.11.24 -
VBA32 3.12.8.9 2008.11.23 AdWare.Win32.Shopper.v
ViRobot 2008.11.24.1483 2008.11.24 Adware.Shopper.1173024
VirusBuster 4.5.11.0 2008.11.24 Adware.Shopper.U
weitere Informationen
File size: 1173024 bytes
MD5...: b1a636c93c714a4aac6ff70a6d675623
SHA1..: 6eab56beb946edcd6616c60a2ad639089aa6203f
SHA256: 91937e15cc3498124ae6214311863d71ffd91110655b97f56d260b8d68707554
SHA512: 6c09e8371a87fe86d8a1265abd1b7214d8c9614c8c8a9e9efc5415ce38de2483
22296e4ed9244576040c96c29200db619b50f25f0bad8c30b089f3d9751db042

ssdeep: 24576:PaQykf7J/J4VkdRBg0MkUCHjF9PfFjp5kk:1DJ/J4LfMzPfFTkk

PEiD..: -
TrID..: File type identification
Windows OCX File (71.0%)
Win32 Executable MS Visual C++ (generic) (21.6%)
Win32 Executable Generic (4.9%)
Generic Win/DOS Executable (1.1%)
DOS Executable Generic (1.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1009817c
timedatestamp.....: 0x47a9a279 (Wed Feb 06 12:05:13 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xba5ca 0xbb000 6.63 a84e4f59b0a8206941d3642307121605
.rdata 0xbc000 0x323b5 0x33000 4.90 367b1088e3324ef4cd3a40fdcb8b14c2
.data 0xef000 0x7c28 0x5000 4.54 1a8b202058798a2431e7d8904f32c3d7
.rsrc 0xf7000 0x1a8b0 0x1b000 5.34 390fea099f4b5f0132a0cab82ad2b1e9
.reloc 0x112000 0xdd9c 0xe000 6.54 619e6686c3c51e41c2381b2da2f277f8

( 15 imports )
> KERNEL32.dll: CompareStringA, GetModuleHandleA, GetWindowsDirectoryA, GetSystemDirectoryA, SetLastError, GetCurrentProcessId, DeleteCriticalSection, InitializeCriticalSection, GetDriveTypeA, CreateDirectoryA, SetCurrentDirectoryA, GetCurrentDirectoryA, VirtualQuery, GetModuleFileNameA, LoadLibraryA, HeapReAlloc, lstrlenA, WaitForSingleObject, GetTickCount, LocalAlloc, LockResource, LoadResource, SizeofResource, FreeLibrary, InterlockedDecrement, InterlockedIncrement, GetLastError, SetEnvironmentVariableA, SetConsoleCtrlHandler, SetStdHandle, GetStringTypeA, IsValidLocale, EnumSystemLocalesA, GetUserDefaultLCID, IsBadCodePtr, IsBadReadPtr, GetOEMCP, GetTimeZoneInformation, GetDateFormatA, GetTimeFormatA, UnhandledExceptionFilter, GetEnvironmentStrings, FreeEnvironmentStringsA, GetStartupInfoA, RaiseException, GetCurrentThreadId, SetHandleCount, LCMapStringA, TerminateProcess, TlsGetValue, TlsSetValue, TlsFree, TlsAlloc, QueryPerformanceCounter, FatalAppExitA, VirtualFree, HeapCreate, GetLocalTime, GetCommandLineA, GetSystemInfo, VirtualAlloc, VirtualProtect, RtlUnwind, GetSystemTimeAsFileTime, ExitProcess, HeapSize, HeapDestroy, GetVersionExA, MoveFileExW, CreateFileA, DeleteFileA, GetSystemDefaultLangID, GlobalHandle, GlobalFree, PulseEvent, ReleaseSemaphore, WriteFile, ReadFile, FlushFileBuffers, SetFilePointer, GetFileSize, SetEndOfFile, CreateThread, TerminateThread, SetThreadPriority, ResumeThread, GetCurrentThread, IsBadWritePtr, SetUnhandledExceptionFilter, MulDiv, GlobalAlloc, GlobalLock, GlobalUnlock, GetFileTime, SystemTimeToFileTime, SetFileTime, Sleep, FindClose, GetSystemTime, FileTimeToSystemTime, GetExitCodeProcess, WaitForMultipleObjects, MapViewOfFile, UnmapViewOfFile, ResetEvent, SetEvent, ReleaseMutex, CloseHandle, LocalFree, HeapAlloc, GetProcessHeap, HeapFree, GetCurrentProcess, FlushInstructionCache, LeaveCriticalSection, GetStdHandle, EnterCriticalSection, GetThreadLocale, GetLocaleInfoA, GetACP, GetFileType, InterlockedExchange, GetFullPathNameA
> ADVAPI32.dll: RegCloseKey
> USER32.dll: MapWindowPoints, BringWindowToTop, GetKeyState, ReplyMessage, GetTopWindow, UpdateWindow, MsgWaitForMultipleObjects, TranslateMessage, RedrawWindow, GetDlgItem, EnumChildWindows, IsChild, SetFocus, BeginPaint, KillTimer, DestroyWindow, OffsetRect, InflateRect, ShowWindow, IsWindow, GetParent, CopyRect, MoveWindow, EqualRect, EndPaint, GetWindowRect, IsIconic, IsWindowVisible, SetTimer, GetFocus, GetSysColor, GetDesktopWindow, SetWindowRgn, UnregisterClassA, EnumWindows, SetRectEmpty, GetSysColorBrush, InvalidateRgn, InvalidateRect, ReleaseDC, GetDC, SetWindowPos, SetWindowContextHelpId, MapDialogRect, GetWindow, DestroyAcceleratorTable, ReleaseCapture, SetCapture, FillRect, GetClientRect
> GDI32.dll: DeleteObject, DeleteDC, CreateCompatibleBitmap, CreateCompatibleDC, GetStockObject, BitBlt, GetDeviceCaps, CreateSolidBrush, CreateRectRgn, CombineRgn, CreatePolygonRgn, CreateRoundRectRgn, OffsetRgn, FillRgn, SelectObject
> SensApi.dll: IsNetworkAlive
> VERSION.dll: GetFileVersionInfoW, GetFileVersionInfoSizeA, GetFileVersionInfoSizeW, VerQueryValueW, VerQueryValueA, GetFileVersionInfoA
> iphlpapi.dll: GetAdaptersInfo
> ole32.dll: CoTaskMemAlloc, CoTaskMemFree, CoTaskMemRealloc, StringFromGUID2, StringFromCLSID, CoCreateGuid, CoCreateInstance, ProgIDFromCLSID, CreateStreamOnHGlobal, OleInitialize, OleUninitialize, CoGetClassObject, CLSIDFromProgID, CLSIDFromString, OleRun, CoUninitialize, CoInitialize, CoMarshalInterface, CoReleaseMarshalData, CoUnmarshalInterface, OleLockRunning
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> SHLWAPI.dll: StrToIntW, StrRChrW, PathFileExistsW, PathFindExtensionW
> urlmon.dll: CreateURLMoniker
> WS2_32.dll: WSASocketW, -, -, WSACreateEvent, WSASetEvent, WSARecv, WSAResetEvent, WSASend, WSAGetOverlappedResult, WSAConnect, -, WSAEnumNetworkEvents, WSACloseEvent, -, GetAddrInfoW, FreeAddrInfoW, WSAEventSelect
> COMCTL32.dll: ImageList_ReplaceIcon, _TrackMouseEvent, -, ImageList_GetImageCount
> CRYPT32.dll: CryptMsgGetParam, CertGetNameStringW, CryptMsgClose, CertCloseStore, CertFreeCertificateContext, CryptQueryObject, CertFindCertificateInStore
> SHELL32.dll: SHCreateDirectoryExW, SHGetSpecialFolderPathW

( 10 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllSendIdsRequestAbort, DllSendIdsRequestAlreadyInstalled, DllSendIdsRequestCancel, DllSendIdsRequestInstalledOnVista, DllSendIdsRequestOk, DllSendUninstallReport, DllUnregisterServer

ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=b1a636c93c714a4aac6ff70a6d675623
CWSandbox info: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=b1a636c93c714a4aac6ff70a6d675623

24.11.2008, 17:58	#4
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Avira Antivir findet Trojaner a.bat Code: ATTFilter Kaspersky 7.0.0.125 2008.11.24 Trojan-GameThief.Win32.Steam.a Du spielst nicht zufällig Steam-basierte Spiele? __________________ Logfiles bitte immer in CODE-Tags posten

24.11.2008, 18:02	#6
cosinus /// Winkelfunktion /// TB-Süch-Tiger™	Avira Antivir findet Trojaner a.bat Ok. Weil sonst hättest Du wohl ein Problem. Du hast da nämlich Malware drin, die Steam-Daten stiehlt... Acker bitte die Liste weiter ab. __________________ --> Avira Antivir findet Trojaner a.bat

Avira Antivir findet Trojaner a.bat

Plagegeister aller Art und deren Bekämpfung: Avira Antivir findet Trojaner a.bat