Hey Chris,

okay, hab die Datei checken lassen. Hier der Bericht von Virustotal:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.09.03 -
AhnLab-V3 5.0.0.2 2009.09.03 -
AntiVir 7.9.1.8 2009.09.03 -
Antiy-AVL 2.0.3.7 2009.09.03 -
Authentium 5.1.2.4 2009.09.03 -
Avast 4.8.1335.0 2009.09.03 -
AVG 8.5.0.409 2009.09.03 -
BitDefender 7.2 2009.09.03 -
CAT-QuickHeal 10.00 2009.09.02 Trojan.Agent.ATV
ClamAV 0.94.1 2009.09.03 -
Comodo 2196 2009.09.03 -
DrWeb 5.0.0.12182 2009.09.03 -
eSafe 7.0.17.0 2009.09.03 -
eTrust-Vet 31.6.6718 2009.09.03 -
F-Prot 4.5.1.85 2009.09.03 -
F-Secure 8.0.14470.0 2009.09.03 -
Fortinet 3.120.0.0 2009.09.03 -
GData 19 2009.09.03 -
Ikarus T3.1.1.72.0 2009.09.03 -
Jiangmin 11.0.800 2009.09.03 -
K7AntiVirus 7.10.835 2009.09.03 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.09.03 -
McAfee 5730 2009.09.03 -
McAfee+Artemis 5730 2009.09.03 -
McAfee-GW-Edition 6.8.5 2009.09.03 Heuristic.LooksLike.Ad-Spyware.Burnfree.K
Microsoft 1.5005 2009.09.03 -
NOD32 4392 2009.09.03 -
Norman 6.01.09 2009.09.03 -
nProtect 2009.1.8.0 2009.09.03 -
Panda 10.0.2.2 2009.09.03 -
PCTools 4.4.2.0 2009.09.03 -
Prevx 3.0 2009.09.03 -
Rising 21.45.14.00 2009.09.01 -
Sophos 4.45.0 2009.09.03 -
Sunbelt 3.2.1858.2 2009.09.03 -
Symantec 1.4.4.12 2009.09.03 -
TheHacker 6.3.4.3.396 2009.09.03 -
TrendMicro 8.950.0.1094 2009.09.03 -
VBA32 3.12.10.10 2009.09.03 -
ViRobot 2009.9.3.1916 2009.09.03 -
VirusBuster 4.6.5.0 2009.09.03 -
weitere Informationen
File size: 806912 bytes
MD5...: d2b4a3c726bbb6625a6949ee8a3381f8
SHA1..: 956d129ecc58f059cf4b958b18560db60b08d643
SHA256: 0b2ccbc41442daa8554d1a3e638b6214b8f4117efe07c556c2629482f8d6b502
ssdeep: 12288:aKJGD91Y+oskxcegrSeRfglwxr+OhlKDlrgH8QkkQ7:aGGjYX7crFgLOhM
Jrefk

PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x551f6
timedatestamp.....: 0x489d4d02 (Sat Aug 09 07:53:38 2008)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x6d60a 0x6e000 6.67 eed3597799ac2517b53e9cac913ba314
.rdata 0x6f000 0x1afe6 0x1b000 5.17 00a3cfbcc4a7827f8ad6969c672296f8
.data 0x8a000 0x1c0c8 0x7000 4.84 3ea4e14647f2ebbc3b12bed74993e319
.SHARED 0xa7000 0x8 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0xa8000 0x26bb0 0x27000 7.82 4698e42e82a5616fe074c323cdd5e00f
.reloc 0xcf000 0xbbac 0xc000 5.87 50361b4aea1957ce4755d33e17ec296d

( 13 imports )
> WININET.dll: InternetOpenUrlA, InternetConnectA, HttpOpenRequestA, HttpSendRequestA, InternetOpenA, InternetCloseHandle, HttpQueryInfoA, InternetQueryDataAvailable, InternetReadFile, InternetCrackUrlA, InternetGetConnectedState, InternetCanonicalizeUrlA, InternetCreateUrlA
> KERNEL32.dll: WaitForSingleObject, CreateProcessA, IsBadWritePtr, GetTickCount, MultiByteToWideChar, SizeofResource, LockResource, LoadResource, SetEnvironmentVariableA, SetEndOfFile, SetStdHandle, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetFilePointer, FlushFileBuffers, GetConsoleMode, GetConsoleCP, GetStringTypeW, GetStringTypeA, GetCurrentProcessId, QueryPerformanceCounter, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, GetStartupInfoA, GetFileType, SetHandleCount, LCMapStringW, LCMapStringA, ExitProcess, HeapCreate, TlsFree, TlsSetValue, TlsAlloc, TlsGetValue, GetStdHandle, IsValidCodePage, GetOEMCP, GetCPInfo, GetTimeZoneInformation, GetSystemTimeAsFileTime, VirtualQuery, GetSystemInfo, VirtualProtect, IsDebuggerPresent, SetUnhandledExceptionFilter, UnhandledExceptionFilter, TerminateProcess, RtlUnwind, VirtualAlloc, VirtualFree, IsProcessorFeaturePresent, GetProcessHeap, HeapSize, HeapReAlloc, HeapFree, HeapAlloc, HeapDestroy, GetThreadLocale, GetLocaleInfoA, GetACP, ExpandEnvironmentStringsA, SetFileAttributesA, IsDBCSLeadByteEx, GetSystemDirectoryA, GetVolumeInformationA, CreateThread, GetExitCodeProcess, WriteFile, ResetEvent, GetFileSize, ReadFile, GetWindowsDirectoryA, GetFileAttributesA, CreateFileA, CreateDirectoryA, ReleaseMutex, GetVersionExA, FindResourceA, FindResourceExA, WideCharToMultiByte, EnterCriticalSection, LeaveCriticalSection, lstrlenA, FormatMessageA, GetModuleFileNameA, GetModuleHandleA, GetModuleHandleW, GetUserDefaultLangID, GetSystemDefaultLangID, Sleep, CreateMutexA, CloseHandle, CompareStringW, CompareStringA, InterlockedExchange, GlobalHandle, GlobalFree, GlobalLock, GlobalUnlock, MulDiv, lstrcmpA, GlobalAlloc, InterlockedCompareExchange, DisableThreadLibraryCalls, FreeLibrary, IsDBCSLeadByte, InterlockedDecrement, InterlockedIncrement, LoadLibraryExA, lstrcmpiA, DeleteCriticalSection, InitializeCriticalSection, LoadLibraryA, lstrlenW, GetCommandLineA, GetDateFormatA, GetTimeFormatA, CreateEventA, GetProcAddress, GetFileAttributesW, LocalAlloc, GetVersion, RaiseException, FlushInstructionCache, GetCurrentProcess, LoadLibraryW, GetLastError, SetLastError, GetModuleFileNameW, SetEvent, DeleteFileA, GetCurrentThreadId, OutputDebugStringA
> USER32.dll: LoadMenuA, InsertMenuItemA, SetMenuItemInfoA, LoadImageA, MessageBoxA, GetWindowLongA, GetParent, GetDlgItem, SetWindowPos, MapWindowPoints, GetClientRect, UnregisterClassA, SetWindowPlacement, FindWindowExA, EnableMenuItem, CheckMenuItem, GetMenuItemInfoA, RemoveMenu, GetMenuItemCount, DestroyMenu, CreatePopupMenu, TrackPopupMenu, GetCursorPos, DrawTextA, DrawStateA, AnimateWindow, MonitorFromPoint, MonitorFromWindow, GetMonitorInfoA, GetAncestor, CopyIcon, DestroyIcon, OffsetRect, PostMessageA, RegisterWindowMessageA, CreateAcceleratorTableA, DestroyAcceleratorTable, BeginPaint, EndPaint, ReleaseCapture, SetCapture, CreateDialogParamA, InvalidateRgn, GetSysColor, SetWindowContextHelpId, MapDialogRect, EndDialog, GetDC, GetSystemMetrics, DialogBoxIndirectParamA, SetFocus, InvalidateRect, GetWindowTextLengthA, GetWindowTextA, GetComboBoxInfo, FillRect, IsChild, GetForegroundWindow, ShowWindow, CharNextA, SetWindowsHookExA, GetFocus, CallNextHookEx, GetClassNameA, UnhookWindowsHookEx, EndMenu, MoveWindow, GetKeyState, ReleaseDC, GetWindowDC, ScreenToClient, ClientToScreen, GetMessageA, IsDialogMessageA, TranslateMessage, DispatchMessageA, GetActiveWindow, SetActiveWindow, GetDesktopWindow, IsWindowEnabled, EnableWindow, SendMessageA, IsWindow, IsWindowVisible, CallWindowProcA, DefWindowProcA, CreateWindowExA, GetClassInfoExA, RegisterClassExA, DestroyWindow, LoadCursorA, KillTimer, SetTimer, SetWindowLongA, LoadStringA, SetWindowTextA, GetWindow, GetWindowRect, SystemParametersInfoA, GetWindowPlacement, IsIconic, DrawFrameControl, UpdateWindow, SetWindowRgn, IsRectEmpty, PtInRect, SetRectEmpty, CopyRect, InflateRect, DrawIconEx, SetCursor, GetCapture, UnionRect, DialogBoxParamA, RedrawWindow
> GDI32.dll: LPtoDP, DPtoLP, StretchBlt, OffsetRgn, CombineRgn, CreateRoundRectRgn, CreatePolygonRgn, GetClipBox, CreateRectRgn, SetStretchBltMode, SetWindowOrgEx, FrameRgn, GetViewportOrgEx, SetViewportOrgEx, ExcludeClipRect, EqualRgn, GetTextExtentPoint32A, RestoreDC, SaveDC, Polygon, CreatePen, SetTextColor, ExtTextOutA, GetPixel, GetTextColor, CreateFontIndirectA, GetStockObject, GetObjectA, GetDeviceCaps, BitBlt, CreateCompatibleDC, CreateCompatibleBitmap, SetBrushOrgEx, SetBkMode, SetBkColor, SelectObject, DeleteObject, CreatePatternBrush, CreateSolidBrush, GetTextMetricsA, DeleteDC
> ADVAPI32.dll: RegQueryInfoKeyA, RegOpenKeyExA, RegQueryValueExA, RegDeleteKeyA, RegDeleteValueA, RegCreateKeyExA, RegSetValueExA, RegEnumKeyExA, RegEnumValueA, OpenProcessToken, GetTokenInformation, LookupAccountSidA, RegCloseKey
> SHELL32.dll: SHGetSpecialFolderPathA, ShellExecuteA
> ole32.dll: CLSIDFromProgID, CoTaskMemFree, ProgIDFromCLSID, StringFromCLSID, CoLoadLibrary, CoFreeUnusedLibraries, RegisterDragDrop, OleUninitialize, OleInitialize, ReleaseStgMedium, CreateStreamOnHGlobal, CLSIDFromString, OleLockRunning, CoGetClassObject, CoUninitialize, CoInitialize, OleDraw, RevokeDragDrop, StringFromGUID2, CoCreateInstance, CoTaskMemRealloc, CoTaskMemAlloc
> OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> SHLWAPI.dll: UrlUnescapeA, PathFileExistsA, StrStrIW, StrStrW, PathRemoveFileSpecA, PathRemoveBackslashA
> COMCTL32.dll: ImageList_AddMasked, ImageList_Destroy, ImageList_Create, ImageList_GetIconSize, ImageList_SetBkColor, ImageList_Draw
> MSIMG32.dll: TransparentBlt
> snmpapi.dll: SnmpUtilOidNCmp, SnmpUtilOidCpy, SnmpUtilVarBindFree
> VERSION.dll: GetFileVersionInfoSizeA, GetFileVersionInfoA, VerQueryValueA

( 4 exports )
DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer

RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: DirectShow filter (43.0%)
Windows OCX File (26.3%)
Win64 Executable Generic (18.2%)
Win32 Executable MS Visual C++ (generic) (8.0%)
Win32 Executable Generic (1.8%)

Ich lass jetzt auch noch Kaspersky durchlaufen.

LG Sanny

P.S.: Ich denke nicht, dass es ein HArdwaredefekt ist. Denn er macht das nur im Explorer und in Windows Mail, aber nicht z.B. im IE

Hi,

es gibt ein paar Explorereinstellungen...
muss mal googlen...
Pdfcreator_toolbar.dll könnte ein Fehalarm sein, hänge einfach mal ein .vir hinten dran... würde sie nicht löschen!

chris

Hi Chris,

Kasperski hat nichts gefunden. Hast du noch ne Idee oder muss ich wirklich alles platt machen und neu aufspielen?

LG Sanny

Hi,

nein, so richtig fällt mir nichts mehr ein...

Wie verhält es sich wenn Du in den abgesicherten Modus bootest (F8 beim Booten drücken)...?

chris

Hi Chris,

im abgesicherten Modus tritt das Problem genauso auf.

LG Sanny

Hi,

ich bin noch mal alles durchgegangen, folgendes fällt auf:
F:\setupSNK.exe als mountpoint (wird bei jedem Start vom Explorer ausgeführt), kennst Du das (es gibt einen gleichnamingen Malwaredownloader!)

Du sagtest der Rechner verhält sich nach dem 31.08. so?

Da wurde das hier installiert:
2009-08-31 22:14:22 ----AD---- C:\Windows\system32\runouce.exe
2009-08-31 22:11:42 ----A---- C:\Windows\system32\msvcr80.dll
2009-08-31 22:11:41 ----A---- C:\Windows\system32\msvcp80.dll
2009-08-31 22:11:40 ----A---- C:\Windows\system32\eEmpty.exe
2009-08-31 22:11:38 ----D---- C:\Program Files\Common Files\MicroWorld
2009-08-31 22:11:36 ----D---- C:\ProgramData\MicroWorld

vorher das hier:
2009-08-27 17:09:51 ----A---- C:\Windows\system32\tzres.dll

Ich finde keinen Zusammenhang zwischen Explorer und Mailprogramm...
Habe mich auf die Addins konzentriert, aber die gelten für den Internet-Explorer....

MBR-Rootkit

Lade den MBR-Rootkitscanner von GMER auf Deine Bootplatte:
http://www2.gmer.net/mbr/mbr.exe
Merke Dir das Verzeichnis wo Du ihn runtergeladen hast;
Start->Ausführen->cmd
Wechsle in das Verzeichnis des Downloads und starte durch Eingabe
von mbr das Programm...

Das Ergebnis sollte so aussehen:

Zitat:

D:\Downloads>mbr
Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

In dem Verzeichnis wo mbr.exe liegt findest Du das Log,
poste es im Thread;

Dann bleibt nur noch sehr tief zu graben und CF für erweiterte Logs loslassen...
Combofix
Lade Combo Fix von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop.
Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter.

Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen
Es kann möglich sein, dass der Rechner zwischendurch neu gestartet wird.
Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen.
Weitere Anleitung unter:http://www.bleepingcomputer.com/comb...x-benutzt-wird

chris

Hi Chris,

F:\setupSNK.exe sagt mir nichts. Ist auf jeden Fall nichts, was ich bewusst auf den Rechner gepackt hätte. Ich komm in cmd nicht rein (Problem mit dem Scrollen in Ausführen lässt mich cmd nicht eingeben). Ich starte jetzt mal CF und poste dann das Log. Vielleicht hilft das ja.

LG Sanny