| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Diverse Malware ruft Adseiten aufWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
25.11.2008, 14:51
| #1 |
 |  Diverse Malware ruft Adseiten auf Hallo, leider habe ich gestern eine Datei geöffnet, welche offensichtlich mit Schädlingen befallen war, da beim Öffnen direkt diverse Virenwarnungen von AntiVir kamen. Die Malwarewarnungen bezogen sich konkret auf folgende Schädlinge: TR/Dldr.VB.iqv' [trojan] DR/Dldr.Agent.aopb' [dropper] DR/BHO.dwj' [dropper] HEUR/Crypted' [heuristic] TR/Crypt.CFI.Gen' [trojan] EXP/MS05-013' [exploit] TR/Buzus.adbl.1' [trojan] Ich habe sämtliche Funde mittels AntiVir gelöscht, jedoch öffnet sich seitdem in regelmäßigen Abständen Firefox und versucht auf die Seite h**p://ads.globaladsolution.com/bc/1stpageads.php zuzugreifen, woraufhin aber nur folgende Fehlermeldung im Browser angezeigt wird: "Error - Ads need to be loaded from adcode, if you keep getting this error contact your account rep." Nachfolgend mein HJT-Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:22:57, on 25.11.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\WINDOWS\System32\regsvr32.exe C:\WINDOWS\system32\iesvcmon.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\OpenOffice.org 2.4\program\soffice.exe C:\Programme\OpenOffice.org 2.4\program\soffice.BIN C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netcologne.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.netcologne.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netcologne.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer bereitgestellt von NetCologne R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: globaladsolution - {6b59562a-b48b-1b33-d996-0ea0fa10f13d} - C:\WINDOWS\system32\nsx69.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll O2 - BHO: globaladsolution browser enhancer - {D85143F4-3EBD-7E5C-EDD0-77358D937B23} - C:\WINDOWS\system32\lcorxsldtrpcn.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Programme\DAEMON Tools Toolbar\DTToolbar.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [ykjkcfrdynw] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\lcorxsldtrpcn.dll" O4 - HKLM\..\Run: [iesvcmon] "C:\WINDOWS\system32\iesvcmon.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 7351 bytes Ich wäre sehr erleichtert, wenn ich um eine Formatierung herumkommen könnte. Vielen Dank schonmal im Voraus für jede Hilfe! Thomas |
|
25.11.2008, 16:18
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Diverse Malware ruft Adseiten auf Hallo und
__________________ Acker diese Punkte für weitere Analysen ab: 1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen: Code:
ATTFilter C:\WINDOWS\system32\iesvcmon.exe
C:\WINDOWS\system32\nsx69.dll
C:\WINDOWS\system32\lcorxsldtrpcn.dll
3.) Führe dieses MBR-Tool aus und poste die Ausgabe 4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten. Vor dem Ausführen von Malwarebytes den Wächter Deines Virenscanners abschalten!! 5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken. 6.) ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist. 8.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!
__________________ |
|
25.11.2008, 21:01
| #3 |
| | Diverse Malware ruft Adseiten auf So, fertig mit der ganzen Prozedur! Vielen Dank schonmal für die Antwort! Leider musste ich in 2 Beiträgen schreiben, weil das Forum die Zeichenzahl meines Beitrags nicht akzeptieren wollte; ich hoffe das macht nichts.
__________________1) Zunächst die Virustotal-Scans (leider habe ich die Scans erst nach den anderen Schritten gemacht, hoffentlich sind die Ergebnisse trotzdem aufschlussreich): Code:
ATTFilter Datei iesvcmon.exe empfangen 2008.11.23 14:14:05 (CET)
Status: Beendet
Ergebnis: 5/36 (13.89%)
Dateigröße: 1,44 MB (1.515.520 Bytes)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 - - -
AntiVir - - -
Authentium - - -
Avast - - -
AVG - - VB.FIU
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
F-Prot - - -
F-Secure - - Suspicious:W32/VB.bbx!Gemini
Fortinet - - -
GData - - -
Ikarus - - -
K7AntiVirus - - -
Kaspersky - - -
McAfee - - Puper
Microsoft - - -
NOD32 - - -
Norman - - -
Panda - - -
PCTools - - -
Prevx1 - - Cloaked Malware
Rising - - -
SecureWeb-Gateway - - -
Sophos - - -
Sunbelt - - -
Symantec - - -
TheHacker - - -
TrendMicro - - -
VBA32 - - suspected of Trojan-PSW.Lmir.14 (paranoid heuristics)
ViRobot - - -
VirusBuster - - -
weitere Informationen
MD5: 903e3b330bb16cbbd72679db38ff953b
SHA1: fa0aa948a772b299d201f7feac31d490c709e4c0
SHA256: 26f5ae5dc2c99e80a77bf9573510882a7bc37f95f5e29ea607baa41fba6191f5
SHA512: e4793f11442da781887b6d32da46fbba1ff57431a8ca0d4da8cc6c307161d2120de20e24ea45ec35093b963fae7fda79fa6b8a54d10baba86fef64a3796d1960
----------------------------------------------------------------------------------------------
Datei nsx69.dll empfangen 2008.11.25 20:15:30 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 3/37 (8.11%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 11.
Geschätzte Startzeit is zwischen 85 und 122 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.11.24.3 2008.11.25 -
AntiVir 7.9.0.35 2008.11.25 -
Authentium 5.1.0.4 2008.11.25 -
Avast 4.8.1281.0 2008.11.24 -
AVG 8.0.0.199 2008.11.25 -
BitDefender 7.2 2008.11.25 -
CAT-QuickHeal 10.00 2008.11.25 -
ClamAV 0.94.1 2008.11.25 -
DrWeb 4.44.0.09170 2008.11.25 -
eSafe 7.0.17.0 2008.11.25 -
eTrust-Vet 31.6.6227 2008.11.25 -
Ewido 4.0 2008.11.25 -
F-Prot 4.4.4.56 2008.11.25 -
F-Secure 8.0.14332.0 2008.11.25 -
Fortinet 3.117.0.0 2008.11.25 -
GData 19 2008.11.25 -
Ikarus T3.1.1.45.0 2008.11.25 AdWare.Win32.MxLiveMedia
K7AntiVirus 7.10.533 2008.11.25 -
Kaspersky 7.0.0.125 2008.11.25 -
McAfee 5444 2008.11.24 -
McAfee+Artemis 5444 2008.11.24 -
Microsoft 1.4104 2008.11.25 Adware:Win32/MxLiveMedia
NOD32 3640 2008.11.25 -
Norman 5.80.02 2008.11.25 -
Panda 9.0.0.4 2008.11.25 -
PCTools 4.4.2.0 2008.11.25 -
Prevx1 V2 2008.11.25 -
Rising 21.05.12.00 2008.11.25 -
SecureWeb-Gateway 6.7.6 2008.11.25 -
Sophos 4.35.0 2008.11.25 -
Sunbelt 3.1.1823.2 2008.11.22 -
Symantec 10 2008.11.25 -
TheHacker 6.3.1.1.162 2008.11.25 -
TrendMicro 8.700.0.1004 2008.11.25 -
VBA32 3.12.8.9 2008.11.25 -
ViRobot 2008.11.25.1485 2008.11.25 -
VirusBuster 4.5.11.0 2008.11.25 Adware.Adrotator.Gen.2
weitere Informationen
File size: 555008 bytes
MD5...: 691235aba5c42ce8a4783913b5572f48
SHA1..: bcc2a1feebe3d88d5f01ae6c97921dd8513050bb
SHA256: a51a10688adac8d67b1833493845eb499989891bc9e18cfa25749029f3aaa22f
SHA512: 7133ec5cc09c400f017bcbf693500a215c56ae129b3bec3ef1dc96fa31a48362
b7690ebbe325b1d6c9591fab2b59a9dd48bf81984caf3ecd565a1a1c0801e07a
ssdeep: 12288:X+dPFAoioTT4Ydj6ujs899cH3MSl9e5j5+FZGL7az9JfC9wTB506g3LnKC
:XWMqT4Y3b9iH3MSep5qCGTB50p7KC
PEiD..: -
TrID..: File type identification
DirectShow filter (77.7%)
Win32 Executable MS Visual C++ (generic) (14.5%)
Win32 Executable Generic (3.2%)
Win32 Dynamic Link Library (generic) (2.9%)
Generic Win/DOS Executable (0.7%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x10047b41
timedatestamp.....: 0x49073e56 (Tue Oct 28 16:31:18 2008)
machinetype.......: 0x14c (I386)
( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x693b3 0x69400 6.76 60d5752132fa6bf830a1b3ec9dbaf313
.rdata 0x6b000 0x136da 0x13800 4.85 dfc0bbd18989dd5a473d98c944955af8
.data 0x7f000 0x4efc 0x1800 3.68 cb83fa1d04ea9d706bddc3b18526f2fc
.rsrc 0x84000 0x4a0 0x600 4.54 74d9fe786082b42abeecaa5bed867691
.reloc 0x85000 0x889a 0x8a00 5.92 5ca48fa9516a328d84c4824248f3ab78
( 10 imports )
> SHLWAPI.dll: StrStrIW, UrlGetPartW, UrlEscapeW, PathMatchSpecW, UrlUnescapeW, StrCmpIW
> KERNEL32.dll: GetCommandLineA, CompareStringW, CompareStringA, InterlockedIncrement, InterlockedDecrement, EnterCriticalSection, DeleteCriticalSection, GetProcAddress, LoadLibraryA, MultiByteToWideChar, GetDriveTypeA, GetProcessHeap, SetEndOfFile, CreateFileA, GetModuleHandleA, GetTimeZoneInformation, SetStdHandle, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, InitializeCriticalSectionAndSpinCount, GetStringTypeW, GetStringTypeA, GetLocaleInfoA, GetCurrentDirectoryA, SetFilePointer, GetDateFormatA, GetTimeFormatA, IsValidCodePage, GetOEMCP, GetACP, FlushFileBuffers, GetConsoleMode, GetConsoleCP, ReadFile, WriteFile, GetCurrentProcessId, GetTickCount, QueryPerformanceCounter, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetFullPathNameW, InitializeCriticalSection, LeaveCriticalSection, FreeLibrary, WideCharToMultiByte, CreateMutexW, WaitForSingleObject, ReleaseMutex, CloseHandle, Sleep, GetModuleFileNameA, GetStartupInfoA, GetFileType, GetStdHandle, SetHandleCount, HeapReAlloc, VirtualAlloc, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, GetLastError, HeapFree, GetCurrentThreadId, SetEnvironmentVariableA, GetSystemTimeAsFileTime, ExitThread, CreateThread, FindClose, FileTimeToSystemTime, FileTimeToLocalFileTime, GetDriveTypeW, FindFirstFileW, RaiseException, RtlUnwind, LCMapStringA, LCMapStringW, GetCPInfo, HeapAlloc, GetModuleHandleW, TlsGetValue, TlsAlloc, TlsSetValue, TlsFree, SetLastError, HeapSize, ExitProcess, HeapCreate, HeapDestroy, VirtualFree
> USER32.dll: GetWindowLongW, wsprintfW, SetWindowTextW, SetWindowPos, SetWindowLongW, EnumChildWindows, RealGetWindowClassW, GetWindowTextW, SendMessageW, CallWindowProcW
> ole32.dll: CoUninitialize, CoCreateInstance, CoTaskMemFree, CoInitialize
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -
> WS2_32.dll: -
> RPCRT4.dll: UuidToStringW, RpcStringFreeW
> urlmon.dll: UrlMkGetSessionOption
> imagehlp.dll: MapAndLoad, UnMapAndLoad
> SHELL32.dll: SHCreateDirectoryExW
( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
----------------------------------------------------------------------------------------
Datei lcorxsldtrpcn.dll empfangen 2008.11.25 20:18:33 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 17/37 (45.95%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 38 und 55 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.11.24.3 2008.11.25 Win-Trojan/Rotator.172544.I
AntiVir 7.9.0.35 2008.11.25 -
Authentium 5.1.0.4 2008.11.25 W32/AdRotator.B.gen!Eldorado
Avast 4.8.1281.0 2008.11.24 -
AVG 8.0.0.199 2008.11.25 Adload_r.EC
BitDefender 7.2 2008.11.25 Generic.Adw.Rotator.FE42F158
CAT-QuickHeal 10.00 2008.11.25 -
ClamAV 0.94.1 2008.11.25 Adware.AdRotator-10
DrWeb 4.44.0.09170 2008.11.25 -
eSafe 7.0.17.0 2008.11.25 -
eTrust-Vet 31.6.6227 2008.11.25 Win32/AdClicker
Ewido 4.0 2008.11.25 -
F-Prot 4.4.4.56 2008.11.25 W32/AdRotator.B.gen!Eldorado
F-Secure 8.0.14332.0 2008.11.25 AdWare.Win32.Agent.hem
Fortinet 3.117.0.0 2008.11.25 Adware/AdClicker
GData 19 2008.11.25 Generic.Adw.Rotator.FE42F158
Ikarus T3.1.1.45.0 2008.11.25 Virus.Win32.Adload
K7AntiVirus 7.10.533 2008.11.25 -
Kaspersky 7.0.0.125 2008.11.25 not-a-virus:AdWare.Win32.Agent.hem
McAfee 5444 2008.11.24 AdClicker-GI
McAfee+Artemis 5444 2008.11.24 AdClicker-GI
Microsoft 1.4104 2008.11.25 Adware:Win32/AdRotator
NOD32 3640 2008.11.25 -
Norman 5.80.02 2008.11.25 -
Panda 9.0.0.4 2008.11.25 -
PCTools 4.4.2.0 2008.11.25 -
Prevx1 V2 2008.11.25 -
Rising 21.05.12.00 2008.11.25 -
SecureWeb-Gateway 6.7.6 2008.11.25 -
Sophos 4.35.0 2008.11.25 SuperiorAds
Sunbelt 3.1.1823.2 2008.11.22 -
Symantec 10 2008.11.25 -
TheHacker 6.3.1.1.162 2008.11.25 -
TrendMicro 8.700.0.1004 2008.11.25 -
VBA32 3.12.8.9 2008.11.25 -
ViRobot 2008.11.25.1485 2008.11.25 -
VirusBuster 4.5.11.0 2008.11.25 Adware.Adrotator.Gen.2
weitere Informationen
File size: 173056 bytes
MD5...: de0f4bbf93f819d8a8f3cec8d76ed697
SHA1..: ba0de6a81a5d1bb1421edecf359a2c0b88b5ac08
SHA256: dead1652739e66c3c3eca33c8c8fa131c9f55474b3f56c0880576c9cc078fe79
SHA512: a9d8fc9af8692baeaee0da76bcdeb9af1ee15e376309c8ad725f6e6a3c99cbd8
f20319af3b0425c81915dc01020d93301385323c45492a6344cfd62331b16298
ssdeep: 3072:paJw9fCgYeDT14cD37ENdWBaC1y2ak5ix:pR9fWeCcDo8Baqab
PEiD..: -
TrID..: File type identification
Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x1000fc48
timedatestamp.....: 0x490745bc (Tue Oct 28 17:02:52 2008)
machinetype.......: 0x14c (I386)
( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1ecff 0x1ee00 6.68 c4993331a148443565afc0b8369ccb28
.rdata 0x20000 0x6c4b 0x6e00 5.37 f4f64fd8a3c1803c00a2c82b8d3e8dcb
.data 0x27000 0x33e4 0x1800 3.92 205868de80a3d4cb1e4aab737dae00a5
.rsrc 0x2b000 0x34c 0x400 4.69 119f993e12f49a1739e2bb96f9406f97
.reloc 0x2c000 0x271a 0x2800 4.96 507008178713da89e721a15bb9e03a09
( 8 imports )
> RPCRT4.dll: UuidToStringW, RpcStringFreeW
> VERSION.dll: VerQueryValueW, GetFileVersionInfoSizeW, GetFileVersionInfoW
> SHLWAPI.dll: StrCmpIW, StrStrIW, PathStripPathW, UrlEscapeW, SHDeleteKeyW
> KERNEL32.dll: ExitThread, WaitForSingleObject, CreateThread, Sleep, GetModuleFileNameW, OpenMutexW, GetSystemTime, CreateEventW, OpenProcess, CreateMutexW, GetLastError, InterlockedIncrement, InterlockedDecrement, lstrcmpW, GetTickCount, SystemTimeToFileTime, GetLocalTime, LocalFree, LoadLibraryA, FreeLibrary, ExpandEnvironmentStringsW, WideCharToMultiByte, MultiByteToWideChar, GetTempFileNameW, GetEnvironmentVariableW, LocalAlloc, VirtualQuery, GetVolumeInformationW, LoadLibraryW, GetSystemInfo, GetStringTypeW, GetStringTypeA, LCMapStringA, GetLocaleInfoA, InitializeCriticalSectionAndSpinCount, GetConsoleMode, GetConsoleCP, SetFilePointer, HeapReAlloc, VirtualAlloc, GetSystemTimeAsFileTime, GetCurrentProcessId, QueryPerformanceCounter, VirtualFree, HeapDestroy, HeapCreate, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetStartupInfoA, GetProcAddress, CreateProcessW, CloseHandle, SetEvent, LeaveCriticalSection, EnterCriticalSection, DeleteCriticalSection, InitializeCriticalSection, lstrlenW, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, CreateFileA, FlushFileBuffers, GetWindowsDirectoryW, GetFileType, SetHandleCount, LCMapStringW, IsValidCodePage, GetOEMCP, GetACP, GetCPInfo, GetModuleFileNameA, GetStdHandle, WriteFile, ExitProcess, HeapSize, GetModuleHandleA, SetLastError, TlsFree, TlsSetValue, RaiseException, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, RtlUnwind, GetCurrentThreadId, GetCommandLineA, HeapFree, HeapAlloc, GetModuleHandleW, TlsGetValue, TlsAlloc
> USER32.dll: GetWindowTextW, EnumChildWindows, RealGetWindowClassW, CallWindowProcW, SetWindowLongW, GetWindowThreadProcessId, SetActiveWindow, SendMessageW, GetPropW, RemovePropW, SetWindowTextW, SetPropW, IntersectRect, InflateRect, ClientToScreen, PeekMessageW, MsgWaitForMultipleObjects, TranslateMessage, DispatchMessageW, GetClassNameW, PostMessageW, OffsetRect
> ADVAPI32.dll: CryptCreateHash, CryptGetHashParam, ConvertStringSecurityDescriptorToSecurityDescriptorW, GetSecurityDescriptorSacl, SetSecurityInfo, CryptGenRandom, CryptAcquireContextW, CryptHashData, CryptDestroyHash, CryptReleaseContext, RegQueryValueExW, RegCreateKeyW, RegCreateKeyExW, RegSetValueW, RegDeleteValueW, RegOpenKeyExW, RegSetValueExW, RegCloseKey
> ole32.dll: CoInitializeEx, CoCreateInstance, CoTaskMemFree, CoUninitialize
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -
( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer
Code:
ATTFilter http://www.file-upload.net/download-1276947/MBR-log.rar.html
Code:
ATTFilter 11/25/08 17:27:07 [Info]: BlackLight Engine 2.2.1092 initialized
11/25/08 17:27:07 [Info]: OS: 5.1 build 2600 (Service Pack 2)
11/25/08 17:27:07 [Note]: 7019 4
11/25/08 17:27:07 [Note]: 7005 0
11/25/08 17:27:13 [Note]: 7006 0
11/25/08 17:27:13 [Note]: 7011 1440
11/25/08 17:27:13 [Note]: 7035 0
11/25/08 17:27:13 [Note]: 7026 0
11/25/08 17:27:13 [Note]: 7026 0
11/25/08 17:27:15 [Note]: FSRAW library version 1.7.1024
11/25/08 17:30:32 [Note]: 2000 1012
11/25/08 17:30:32 [Note]: 2000 1012
Code:
ATTFilter Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1306
Windows 5.1.2600 Service Pack 2
25.11.2008 18:23:14
mbam-log-2008-11-25 (18-23-14).txt
Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 139506
Laufzeit: 37 minute(s), 10 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 7
Infizierte Registrierungswerte: 3
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> Delete on reboot.
Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\toolband.xttbpos00 (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\TypeLib\{77d6ddfa-7834-4541-b2b3-a8b0fb0e3924} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{4bd2d6c3-31dc-b947-23d0-dc52ec4f0c4c} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\toolband.xttbpos00.1 (Adware.BHO) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{855f3b16-6d32-4fe6-8a56-bbb695989046} (Adware.BHO) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Programme\ICQToolbar\toolbaru.dll (Adware.BHO) -> Delete on reboot.
Geändert von TS1984 (25.11.2008 um 21:09 Uhr) |
|
25.11.2008, 21:02
| #4 |
| | Diverse Malware ruft Adseiten auf 5) logfile von silentrunners: Code:
ATTFilter http://www.file-upload.net/download-1276876/silentrunners.rar.html
Combofix-log: Code:
ATTFilter ComboFix 08-11-24.03 - Besitzer 2008-11-25 19:48:52.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1633 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\ComboFix.exe
.
((((((((((((((((((((((( Dateien erstellt von 2008-10-25 bis 2008-11-25 ))))))))))))))))))))))))))))))
.
2008-11-25 17:35 . 2008-11-25 17:35 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2008-11-25 17:35 . 2008-11-25 17:35 <DIR> d-------- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2008-11-25 17:35 . 2008-11-25 17:35 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2008-11-25 17:35 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-11-25 17:35 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-11-25 17:15 . 2008-11-25 17:15 250 --a------ c:\windows\gmer.ini
2008-11-24 18:12 . 2008-11-24 18:12 <DIR> d-------- c:\programme\Trend Micro
2008-11-24 15:45 . 2008-11-24 15:45 1,515,520 --a------ c:\windows\system32\iesvcmon.exe
2008-11-24 15:45 . 2008-11-24 15:45 473,088 --a------ c:\windows\gu58826.exe
2008-11-24 15:44 . 2008-11-24 15:44 78,636 --a------ c:\windows\system32\ahkzgaznstrbl.exe
2008-11-24 15:44 . 2008-11-24 15:44 53,948 --a------ c:\windows\system32\cont_globaladsolution-remove.exe
2008-11-22 17:31 . 2008-11-22 17:31 <DIR> d-------- c:\programme\ScummVM
2008-11-21 17:35 . 1996-11-06 12:05 302,592 --a------ c:\windows\unin0407.exe
2008-11-21 17:04 . 2008-11-21 17:04 <DIR> d-------- c:\programme\Alcohol Soft
2008-11-21 17:01 . 2008-11-21 17:01 <DIR> d-------- c:\programme\DAEMON Tools Toolbar
2008-11-21 17:00 . 2008-11-21 17:01 <DIR> d-------- c:\programme\DAEMON Tools Lite
2008-11-20 21:31 . 2008-11-20 21:31 <DIR> d-------- c:\programme\CCleaner
2008-11-13 14:26 . 2008-10-24 12:10 453,632 -----c--- c:\windows\system32\dllcache\mrxsmb.sys
2008-11-04 21:07 . 2008-11-24 16:46 <DIR> d-------- C:\Neuer Ordner
2008-10-28 18:34 . 2008-10-28 18:34 <DIR> d-------- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\vlc
2008-10-28 18:02 . 2008-10-28 18:02 173,056 --a------ c:\windows\system32\lcorxsldtrpcn.dll
2008-10-28 17:31 . 2008-10-28 17:31 555,008 --a------ c:\windows\system32\nsx69.dll
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-25 18:47 --------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\OpenOffice.org2
2008-11-25 17:26 --------- d-----w c:\programme\ICQToolbar
2008-11-24 23:25 --------- d-----w c:\dokumente und einstellungen\All Users\Anwendungsdaten\Google Updater
2008-11-24 16:39 107,888 ----a-w c:\windows\system32\CmdLineExt.dll
2008-11-21 20:29 --------- d-----w c:\programme\Gemeinsame Dateien\AVSMedia
2008-11-21 20:29 --------- d-----w c:\programme\AVS4YOU
2008-11-21 16:36 --------- d-----w c:\programme\LucasArts
2008-11-21 15:58 717,296 ----a-w c:\windows\system32\drivers\sptd.sys
2008-11-21 14:53 --------- d--h--w c:\programme\InstallShield Installation Information
2008-11-16 15:49 --------- d-----w c:\programme\Gemeinsame Dateien\Adobe
2008-10-28 16:38 --------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\dvdcss
2008-10-26 16:42 --------- d-----w c:\programme\DivX
2008-10-24 11:10 453,632 ----a-w c:\windows\system32\drivers\mrxsmb.sys
2008-10-21 15:28 --------- d-----w c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\U3
2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll
2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll
2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll
2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll
2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll
2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe
2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll
2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll
2008-09-19 21:55 200,704 ----a-w c:\windows\system32\ssldivx.dll
2008-09-19 21:55 1,044,480 ----a-w c:\windows\system32\libdivx.dll
2008-09-15 15:37 1,846,144 ----a-w c:\windows\system32\win32k.sys
2008-09-04 16:43 1,106,944 ----a-w c:\windows\system32\msxml3.dll
2008-08-29 19:06 1,350,664 ----a-w c:\windows\system32\msxml6.dll
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6b59562a-b48b-1b33-d996-0ea0fa10f13d}]
2008-10-28 17:31 555008 --a------ c:\windows\system32\nsx69.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D85143F4-3EBD-7E5C-EDD0-77358D937B23}]
2008-10-28 18:02 173056 --a------ c:\windows\system32\lcorxsldtrpcn.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-03 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"avgnt"="c:\programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-04-15 262401]
"WinampAgent"="c:\programme\Winamp\winampa.exe" [2007-02-13 35328]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016]
"JMB36X IDE Setup"="c:\windows\RaidTool\xInsIDE.exe" [2007-03-20 36864]
"36X Raid Configurer"="c:\windows\system32\xRaidSetup.exe" [2007-05-08 1953792]
"SunJavaUpdateSched"="c:\programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784]
"Easy-PrintToolBox"="c:\programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 409600]
"QuickTime Task"="c:\programme\QuickTime\QTTask.exe" [2008-05-27 413696]
"Adobe Reader Speed Launcher"="c:\programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
"ykjkcfrdynw"="c:\windows\system32\lcorxsldtrpcn.dll" [2008-10-28 173056]
"iesvcmon"="c:\windows\system32\iesvcmon.exe" [2008-11-24 1515520]
"nwiz"="nwiz.exe" [2006-10-22 c:\windows\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-12 c:\windows\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2007-04-06 c:\windows\SkyTel.exe]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-03 15360]
c:\dokumente und einstellungen\Besitzer\Startmen\Programme\Autostart\
OpenOffice.org 2.4.lnk - c:\programme\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 393216]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.ac3filter"= ac3filter.acm
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\BearShare\\BearShare.exe"=
"c:\\Programme\\ICQ6\\ICQ.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Programme\\LucasArts\\Star Wars Jedi Knight Jedi Academy\\GameData\\jamp.exe"=
"c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Civilization4.exe"=
"c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords.exe"=
"c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Warlords\\Civ4Warlords_PitBoss.exe"=
"c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword.exe"=
"c:\\Programme\\Firaxis Games\\Sid Meier's Civilization 4\\Beyond the Sword\\Civ4BeyondSword_PitBoss.exe"=
"c:\\Programme\\VideoLAN\\VLC\\vlc.exe"=
R3 AtcL001;NDIS Miniport Driver for Attansic L1 Gigabit Ethernet Controller;c:\windows\system32\DRIVERS\atl01_xp.sys [2008-03-07 38656]
S3 idrmkl;idrmkl;\??\c:\dokume~1\Besitzer\LOKALE~1\Temp\idrmkl.sys []
S3 PDNMp50;PDNMp50 NDIS Protocol Driver;\??\c:\windows\system32\drivers\PDNMp50.sys [2006-11-28 28224]
S3 PDNSp50;PDNSp50 NDIS Protocol Driver;\??\c:\windows\system32\drivers\PDNSp50.sys [2006-11-28 27072]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c3368c3-d35d-11dc-9d94-806d6172696f}]
\Shell\AutoRun\command - E:\Install.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6c3368c4-d35d-11dc-9d94-db4c8600e1c1}]
\Shell\AutoRun\command - F:\LaunchU3.exe
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{fe39b998-0b90-11dd-9807-001d60144981}]
\shell\Install\command - g:\soniqcast\Install\setup.exe
*Newly Created Service* - CATCHME
.
.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\q14d925t.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.de/ig?rls=ig&hl=de&source=iglk
FF -: plugin - c:\programme\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll
FF -: plugin - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\NPWPF.dll
.
**************************************************************************
catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-25 19:49:52
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostarteinträge...
Scanne versteckte Dateien...
Scan erfolgreich abgeschlossen
versteckte Dateien: 0
**************************************************************************
.
Zeit der Fertigstellung: 2008-11-25 19:50:36
ComboFix-quarantined-files.txt 2008-11-25 18:50:29
ComboFix2.txt 2008-11-25 18:37:33
Vor Suchlauf: 17 Verzeichnis(se), 100.498.538.496 Bytes frei
Nach Suchlauf: 17 Verzeichnis(se), 100,486,701,056 Bytes frei
144 --- E O F --- 2008-11-13 21:15:48
listing-log: Code:
ATTFilter http://www.file-upload.net/download-1276720/listing.txt.html
neues HJT log: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:00:32, on 25.11.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\RTHDCPL.EXE C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\WINDOWS\system32\iesvcmon.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Java\jre1.6.0_05\bin\jucheck.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\explorer.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Eigene Musik\qlketzd.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netcologne.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.netcologne.de O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: globaladsolution - {6b59562a-b48b-1b33-d996-0ea0fa10f13d} - C:\WINDOWS\system32\nsx69.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll O2 - BHO: globaladsolution browser enhancer - {D85143F4-3EBD-7E5C-EDD0-77358D937B23} - C:\WINDOWS\system32\lcorxsldtrpcn.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [ykjkcfrdynw] C:\WINDOWS\System32\regsvr32.exe /s "C:\WINDOWS\system32\lcorxsldtrpcn.dll" O4 - HKLM\..\Run: [iesvcmon] "C:\WINDOWS\system32\iesvcmon.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe -- End of file - 6461 bytes Viele Grüße und Dank, Thomas |
|
25.11.2008, 21:24
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Diverse Malware ruft Adseiten auf Anleitung Avenger (by swandog46) Lade dir das Tool Avenger und speichere es auf dem Desktop:
Code:
ATTFilter files to delete:
C:\WINDOWS\system32\iesvcmon.exe
C:\WINDOWS\system32\nsx69.dll
C:\WINDOWS\system32\lcorxsldtrpcn.dll
c:\windows\gu58826.exe
c:\windows\system32\ahkzgaznstrbl.exe
c:\windows\system32\cont_globaladsolution-remove.exe
c:\dokume~1\Besitzer\LOKALE~1\Temp\idrmkl.sys
drivers to delete:
idrmkl
Registry keys to delete:
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6b59562a-b48b-1b33-d996-0ea0fa10f13d}
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D85143F4-3EBD-7E5C-EDD0-77358D937B23}
__________________ --> Diverse Malware ruft Adseiten auf |
|
| Themen zu Diverse Malware ruft Adseiten auf |
| ad-aware, adobe, antivir, avg, avira, browser, canon, error, explorer, fehlermeldung, firefox, google, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, malware, mozilla, nvidia, rundll, software, system, trojan, vielen dank, windows, windows xp |
Hybrid-Darstellung
