Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
roore.ws/1.exe trotz KasperskyIS

roore.ws/1.exe trotz KasperskyIS


Log-Analyse und Auswertung: roore.ws/1.exe trotz KasperskyIS

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Seite 2 von 3 1 2 3
Alt 09.11.2009, 08:28   #16
Chris4You
 
roore.ws/1.exe trotz KasperskyIS - Standard

roore.ws/1.exe trotz KasperskyIS


Hi,

CF ist nicht nur ein Scanner, er versucht auch alles was er findet gerade zu biegen (ist unsere Vielzweckwaffe). Nebenbei erstellt er ein aussagekräftiges Log, darin kann man dann versuchen noch was zu finden.

Bei Dir war ein Low-Level-Treiber für die Festplatte verseucht. Der hat alle Leseanweisungen überwacht, und wenn er selbst (das Rootkit) gelesen werden sollte, hat er sich einfach ausgeblendet. Daher konnte kein Scanner, der mit Windows-Boardmittlen liest, das Teil finden.

Bitte wie folgt vorgehen:
Inhalt im Verzeichnis C:\Qoobox (Backupverzeichnis von CF) mit einem Zipper packen und mit Passwort "virus" versehen.
Folge dann dem Punkt 2 unter:
http://www.trojaner-board.de/54791-a...ner-board.html

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
c:\windows\system32\drivers\sbapifs.sys
c:\windows\system32\drivers\SBREDrv.sys
c:\dokume~1\Besitzer\ANWEND~1\MACROM~1\Common\0b30a0141.dll
c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\0b30a01419.exe
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:
ATTFilter
Files to delete:
c:\dokume~1\Besitzer\ANWEND~1\MACROM~1\Common\0b30a0141.dll
c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\0b30a01419.exe

Folders to delete:
c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Macromedia\Common
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.



So, das hier als MacroMediaWeg.reg auf dem Desktop speichern (Start->Ausführen->Editor, dort den Text reinkopieren und als
MacroMediaWeg.reg auf dem Desktop speichern, nicht als .txt):
Code:
ATTFilter
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32]
"midi1"=-
"wave1"=-
"aux1"=-
"mixer1"=-
"aux2"=-
"midi2"=-
"wave2"=-
"mixer2"=-
Danach Doppelklick auf das File, die Frage nach dem "zusammenführen" abnicken...

Jetzt MAM updaten und nochmal komplett über den Rechner jagen...
Danach bitte CF deinstallieren (Start->Ausführen combofix /u), neu runterladen und laufen lassen...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )
Geändert von Chris4You (09.11.2009 um 09:26 Uhr)

Alt 09.11.2009, 22:39   #17
icke040
 
roore.ws/1.exe trotz KasperskyIS - Standard

roore.ws/1.exe trotz KasperskyIS


Hallo,

da ist ja eine Menge zu tun! Ich fürchte, heute abend /nacht schaff ich das nicht mehr.

Ich hatte vorhin ein wenig in den KIS-Firewall Einstellungen reingeguckt. Bin da auch manches gestoßen, was mir verdächtig vorkommt. Siehe Screenshots. Hab das gleich unschädlich geschaltet. Ist das ok so? Oder war da was wirklich wichtiges dabei?

Auch hat mir CCleaner was seltsames angezeigt. Das wollte er löschen und ich hab das zugelassen. Siehe anderen Screenshot.

Virustotal-Logs:
SBREDrv.sys

Datei SBREDrv.sys empfangen 2009.11.09 21:06:30 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/40 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.41 2009.11.09 -
AhnLab-V3 5.0.0.2 2009.11.06 -
AntiVir 7.9.1.61 2009.11.09 -
Antiy-AVL 2.0.3.7 2009.11.09 -
Authentium 5.2.0.5 2009.11.09 -
Avast 4.8.1351.0 2009.11.09 -
AVG 8.5.0.423 2009.11.09 -
BitDefender 7.2 2009.11.09 -
CAT-QuickHeal 10.00 2009.11.09 -
ClamAV 0.94.1 2009.11.09 -
Comodo 2899 2009.11.09 -
DrWeb 5.0.0.12182 2009.11.09 -
eTrust-Vet 35.1.7111 2009.11.09 -
F-Prot 4.5.1.85 2009.11.09 -
F-Secure 9.0.15370.0 2009.11.09 -
Fortinet 3.120.0.0 2009.11.09 -
GData 19 2009.11.09 -
Ikarus T3.1.1.74.0 2009.11.09 -
Jiangmin 11.0.800 2009.11.09 -
K7AntiVirus 7.10.892 2009.11.09 -
Kaspersky 7.0.0.125 2009.11.09 -
McAfee 5797 2009.11.09 -
McAfee+Artemis 5797 2009.11.09 -
McAfee-GW-Edition 6.8.5 2009.11.09 -
Microsoft 1.5202 2009.11.09 -
NOD32 4589 2009.11.09 -
Norman 6.03.02 2009.11.09 -
nProtect 2009.1.8.0 2009.11.09 -
Panda 10.0.2.2 2009.11.09 -
PCTools 7.0.3.5 2009.11.09 -
Prevx 3.0 2009.11.09 -
Rising 22.21.00.08 2009.11.09 -
Sophos 4.47.0 2009.11.09 -
Sunbelt 3.2.1858.2 2009.11.09 -
Symantec 1.4.4.12 2009.11.09 -
TheHacker 6.5.0.2.063 2009.11.06 -
TrendMicro 9.0.0.1003 2009.11.09 -
VBA32 3.12.10.11 2009.11.09 -
ViRobot 2009.11.9.2027 2009.11.09 -
VirusBuster 4.6.5.0 2009.11.09 -
weitere Informationen
File size: 93872 bytes
MD5...: e121185abcc7f6f2875843ed3236d245
SHA1..: ffeeb1901c66fe2fc2c83886298adda1a2c9ba8b
SHA256: 488ba5831af926c951a3b159f492c2e26a8cc62b9f4485f9944c24ec054d6ecb
ssdeep: 1536:jSmugI790GP4TWuaqjM7lW90kpStZjKd/YknMPJ8LRi5:j2gIeGP4qpq4E0
kktgd/Y6cx
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x12f85
timedatestamp.....: 0x4a7890af (Tue Aug 04 19:49:03 2009)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x480 0xcee9 0xcf00 6.40 4e3f07330b683b10a8a6b7d0f662dbc7
.rdata 0xd380 0x2f7c 0x2f80 5.04 cd91fb1c41df701d4dcf58a040cbc7ff
.data 0x10300 0x2c09 0x2c80 0.44 52f0e15d59ae91bb1ab93e50a4421ee8
INIT 0x12f80 0x9dc 0xa00 5.59 69e2e2f8f26ccd5fdcf908748d3c685c
.rsrc 0x13980 0x504 0x580 3.78 cc9fa0665daa793f0fe04a014de181ed
.reloc 0x13f00 0x1546 0x1580 6.29 a588eec17ef37a44d009d22cb5dbd0b4

( 2 imports )
> ntoskrnl.exe: ExFreePoolWithTag, ZwWriteFile, ExAllocatePool, RtlInitUnicodeString, IoFreeIrp, IoFreeMdl, KeSetEvent, KeWaitForSingleObject, KeInitializeEvent, KeGetCurrentThread, IoAllocateIrp, MmBuildMdlForNonPagedPool, IoAllocateMdl, memcpy, IofCompleteRequest, IoDeleteDevice, IoDeleteSymbolicLink, ObfDereferenceObject, KeReleaseSemaphore, RtlUnicodeStringToAnsiString, ZwCreateFile, ObReferenceObjectByHandle, ObOpenObjectByPointer, ZwSetInformationFile, ZwOpenFile, PsLookupProcessByProcessId, MmIsAddressValid, KeServiceDescriptorTable, PsTerminateSystemThread, KeSetPriorityThread, PsCreateSystemThread, KeInitializeSemaphore, wcsstr, IoCreateSymbolicLink, IoCreateDevice, PsGetVersion, strrchr, KeBugCheckEx, _wcsnicmp, IoGetBaseFileSystemDeviceObject, IofCallDriver, KeUnstackDetachProcess, KeStackAttachProcess, RtlCompareUnicodeString, ZwQueryObject, ZwDuplicateObject, ZwOpenProcess, PsGetCurrentProcessId, ZwQuerySystemInformation, strncmp, ZwReadFile, strncpy, _vsnprintf, _snprintf, RtlTimeToTimeFields, ExSystemTimeToLocalTime, KeQuerySystemTime, _stricmp, _strnicmp, RtlCopyUnicodeString, ZwQueryValueKey, ZwOpenKey, ZwSetValueKey, _snwprintf, KeDetachProcess, KeAttachProcess, MmMapLockedPagesSpecifyCache, MmGetPhysicalAddress, PsLookupThreadByThreadId, RtlAnsiStringToUnicodeString, RtlInitAnsiString, _strupr, _strlwr, KeDelayExecutionThread, RtlVolumeDeviceToDosName, ObfReferenceObject, IoGetDeviceObjectPointer, wcschr, wcsncmp, _wcsicmp, wcsrchr, strchr, strstr, RtlAppendUnicodeToString, KeClearEvent, IoCreateNotificationEvent, IoDeviceObjectType, ZwQuerySection, RtlInitString, ZwRequestWaitReplyPort, ZwConnectPort, KeTickCount, memset, ZwQueryInformationFile, IoGetCurrentProcess, ZwClose, IoGetLowerDeviceObject, RtlUnwind, IoReleaseCancelSpinLock
> HAL.dll: KfReleaseSpinLock, KfAcquireSpinLock

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (51.1%)
Win16/32 Executable Delphi generic (12.4%)
Clipper DOS Executable (12.1%)
Generic Win/DOS Executable (12.0%)
DOS Executable Generic (12.0%)
sigcheck:
publisher....: Sunbelt Software
copyright....: Copyright (c) 2002-2006 Sunbelt Software. All rights reserved.
product......: CounterSpy
description..: Anti-Rootkit Engine
original name: SBRE.sys
internal name: SBRE.sys
file version.: 3.1.2819
comments.....: n/a
signers......: SUNBELT SOFTWARE DISTRIBUTION
VeriSign Class 3 Code Signing 2004 CA
Class 3 Public Primary Certification Authority
signing date.: 3:24 PM 8/5/2009
verified.....: -
------------------------------EoF--------------------

0b30a0141.dll

Datei 0b30a0141.dll empfangen 2009.11.09 21:10:51 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 2/40 (5%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit ist zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.41 2009.11.09 -
AhnLab-V3 5.0.0.2 2009.11.06 -
AntiVir 7.9.1.61 2009.11.09 -
Antiy-AVL 2.0.3.7 2009.11.09 -
Authentium 5.2.0.5 2009.11.09 -
Avast 4.8.1351.0 2009.11.09 -
AVG 8.5.0.423 2009.11.09 Agent_r.PA
BitDefender 7.2 2009.11.09 -
CAT-QuickHeal 10.00 2009.11.09 -
ClamAV 0.94.1 2009.11.09 -
Comodo 2899 2009.11.09 -
DrWeb 5.0.0.12182 2009.11.09 -
eTrust-Vet 35.1.7111 2009.11.09 -
F-Prot 4.5.1.85 2009.11.09 -
F-Secure 9.0.15370.0 2009.11.09 -
Fortinet 3.120.0.0 2009.11.09 -
GData 19 2009.11.09 -
Ikarus T3.1.1.74.0 2009.11.09 -
Jiangmin 11.0.800 2009.11.09 -
K7AntiVirus 7.10.892 2009.11.09 -
Kaspersky 7.0.0.125 2009.11.09 -
McAfee 5797 2009.11.09 -
McAfee+Artemis 5797 2009.11.09 -
McAfee-GW-Edition 6.8.5 2009.11.09 -
Microsoft 1.5202 2009.11.09 -
NOD32 4589 2009.11.09 -
Norman 6.03.02 2009.11.09 -
nProtect 2009.1.8.0 2009.11.09 -
Panda 10.0.2.2 2009.11.09 -
PCTools 7.0.3.5 2009.11.09 -
Prevx 3.0 2009.11.09 -
Rising 22.21.00.08 2009.11.09 -
Sophos 4.47.0 2009.11.09 Troj/Riern-Fam
Sunbelt 3.2.1858.2 2009.11.09 -
Symantec 1.4.4.12 2009.11.09 -
TheHacker 6.5.0.2.063 2009.11.06 -
TrendMicro 9.0.0.1003 2009.11.09 -
VBA32 3.12.10.11 2009.11.09 -
ViRobot 2009.11.9.2027 2009.11.09 -
VirusBuster 4.6.5.0 2009.11.09 -
weitere Informationen
File size: 101888 bytes
MD5...: 922bfbd5aaa089f78f8eeb0ad2482798
SHA1..: 31bc216620aab4fef77b3b5e5a99728c3ad41114
SHA256: 9e6afcd4c541cbd4a1eb3a7727d925dc566da7a7e4c6f7476096a680f8514dcb
ssdeep: 1536:jSHB0vX6Roc9aV1S2hfoWYYooZja+OSrLWd109eMctT7EIADkil+W2WNiD1
AkvnY:nv6RN0a2h+KjlA21whVil+WVANh
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10981
timedatestamp.....: 0x4aea14b9 (Thu Oct 29 22:18:33 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x1231e 0x12400 6.21 dd73ad3b8dc33df208a19b07741ee4e8
.rdata 0x14000 0x7f4 0x800 5.37 378d1c36875515120820abbc6c13358f
.data 0x15000 0x57c0 0x4e00 6.05 57f42d0f505fd3dbde95dc8dae0a5762
.reloc 0x1b000 0xf1e 0x1000 6.17 5b4c84e9cec221248e25e2c456f67f58

( 1 imports )
> KERNEL32.dll: TerminateThread, VirtualAlloc, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, GetCurrentThreadId, TlsSetValue, TlsAlloc, TlsFree, TlsGetValue, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, DeleteCriticalSection, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, HeapDestroy, HeapCreate, VirtualFree, HeapFree, WriteFile, InitializeCriticalSection, EnterCriticalSection, LeaveCriticalSection, HeapAlloc, GetCPInfo, GetACP, GetOEMCP, HeapReAlloc, GetProcAddress, LoadLibraryA, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW, RtlUnwind

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
-----------------------------------EoF----------------

Da ich schon dabei war, hab ich gleich die Datei c:\dokume~1\Besitzer\ANWEND~1\MACROM~1\Common\0b30a01419.exe scannen lassen. Diese und die o.g. dll-Datei sind die einzigen Dateien im Ordner "Common".
Sieht auch nicht gut aus:

0b30a01419.exe

Datei 0b30a01419.exe empfangen 2009.11.09 21:15:54 (UTC)

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.41 2009.11.09 -
AhnLab-V3 5.0.0.2 2009.11.06 -
AntiVir 7.9.1.61 2009.11.09 -
Antiy-AVL 2.0.3.7 2009.11.09 -
Authentium 5.2.0.5 2009.11.09 -
Avast 4.8.1351.0 2009.11.09 -
AVG 8.5.0.423 2009.11.09 PSW.Agent.ADKI
BitDefender 7.2 2009.11.09 -
CAT-QuickHeal 10.00 2009.11.09 -
ClamAV 0.94.1 2009.11.09 -
Comodo 2899 2009.11.09 -
DrWeb 5.0.0.12182 2009.11.09 -
eTrust-Vet 35.1.7111 2009.11.09 -
F-Prot 4.5.1.85 2009.11.09 -
F-Secure 9.0.15370.0 2009.11.09 Trojan:W32/Riern.B
Fortinet 3.120.0.0 2009.11.09 -
GData 19 2009.11.09 -
Ikarus T3.1.1.74.0 2009.11.09 -
Jiangmin 11.0.800 2009.11.09 -
K7AntiVirus 7.10.892 2009.11.09 -
Kaspersky 7.0.0.125 2009.11.09 -
McAfee 5797 2009.11.09 -
McAfee+Artemis 5797 2009.11.09 -
McAfee-GW-Edition 6.8.5 2009.11.09 -
Microsoft 1.5202 2009.11.09 -
NOD32 4589 2009.11.09 Win32/Agent.QHS
Norman 6.03.02 2009.11.09 -
nProtect 2009.1.8.0 2009.11.09 -
Panda 10.0.2.2 2009.11.09 Trj/Sinowal.WOS
PCTools 7.0.3.5 2009.11.09 -
Prevx 3.0 2009.11.09 Medium Risk Malware
Rising 22.21.00.08 2009.11.09 -
Sophos 4.47.0 2009.11.09 -
Sunbelt 3.2.1858.2 2009.11.09 -
Symantec 1.4.4.12 2009.11.09 -
TheHacker 6.5.0.2.063 2009.11.06 -
TrendMicro 9.0.0.1003 2009.11.09 -
VBA32 3.12.10.11 2009.11.09 -
ViRobot 2009.11.9.2027 2009.11.09 -
VirusBuster 4.6.5.0 2009.11.09 -
weitere Informationen
File size: 16384 bytes
MD5...: 0cb97e5ad1c242e2d682deb3dc606888
SHA1..: 4e363b3fc7e5c953b1ab92dd65036e7327c894bc
SHA256: d8fab2b362fb5f8b165f869472f569b431e9372443d890f254186f509d55dcf1
ssdeep: 384:+aib4iAgY7Avc+x2mlm1Lh1sype+SoEglZH9:Zib4iAgY7B+xcJs42FglH
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x134f
timedatestamp.....: 0x4aea14b4 (Thu Oct 29 22:18:28 2009)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2b9e 0x2c00 6.56 60c373bc0c8dc6c17965d3f7dace9cf0
.rdata 0x4000 0x736 0x800 4.97 dfd28a1990c2ecc325ca747cccd278c7
.data 0x5000 0xc5c 0x800 4.30 f64b97fa7120cb97e30c275e7aae68f6

( 1 imports )
> KERNEL32.dll: GetModuleHandleA, GetStartupInfoA, GetCommandLineA, GetVersion, ExitProcess, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, GetModuleFileNameA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, WideCharToMultiByte, GetEnvironmentStrings, GetEnvironmentStringsW, SetHandleCount, GetStdHandle, GetFileType, HeapDestroy, HeapCreate, VirtualFree, HeapFree, RtlUnwind, WriteFile, GetCPInfo, GetACP, GetOEMCP, HeapAlloc, VirtualAlloc, HeapReAlloc, GetProcAddress, LoadLibraryA, MultiByteToWideChar, LCMapStringA, LCMapStringW, GetStringTypeA, GetStringTypeW

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable MS Visual C++ (generic) (65.2%)
Win32 Executable Generic (14.7%)
Win32 Dynamic Link Library (generic) (13.1%)
Generic Win/DOS Executable (3.4%)
DOS Executable Generic (3.4%)
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=C5E66E9700373286402500E97C5547006538C3B4' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=C5E66E9700373286402500E97C5547006538C3B4</a>
------------------------EdF----------------

Die Datei c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\0b30a01419.exe bereitet mit genau wie die erste in der Liste, c:\windows\system32\drivers\sbapifs.sys, Kopfzerbrechen.
Ich kann sie zwar im Windows-Explorer finden, aber nichtim Upload-Fenster für virustotal. Siehe Screensot.

Werden diese Dateien absichtlich versteckt?

Jetzt muss ich aber ins Bett. Gute Nacht und vielen Dank! Ich mach morgen mit dem schwierigeren Teil weiter. roore.ws/1.exe trotz KasperskyIS-kasp_20.jpg

roore.ws/1.exe trotz KasperskyIS-kasp_21.jpg

roore.ws/1.exe trotz KasperskyIS-cclean_01.jpg
Miniaturansicht angehängter Grafiken
roore.ws/1.exe trotz KasperskyIS-nosuchfile_01.jpg  
__________________
Alt 10.11.2009, 21:20   #18
icke040
 
roore.ws/1.exe trotz KasperskyIS - Standard

roore.ws/1.exe trotz KasperskyIS


Hallo,

wollte gerade meine qoobox.zip-Datei wie beschrieben hochladen.
Zitat:
Bitte wie folgt vorgehen:
Inhalt im Verzeichnis C:\Qoobox (Backupverzeichnis von CF) mit einem Zipper packen und mit Passwort "virus" versehen.
Folge dann dem Punkt 2 unter:
Anleitung: UploadChannel - Trojaner-Board
Leider darf ich aber keine gepackten Dateien hochladen, steht da (Sceenshot).
Was mach ich nun?

Kann ich eigentlich die Dateien
Zitat:
c:\windows\system32\drivers\sbapifs.sys
c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\0b30a01419.exe
woandershin kopieren (Kopie erstellen lassen, Original bleibt im Original-Ordner) und diese auf virustotal hochladen? Ist das dann das gleiche?
Und kann ich die bösen Dateien nicht gleich mit Eraser zerstören? Ich glaub, darauf kenn ich die Antwort: Sie werden wiederhergestellt, woher auch immer.
Werd mir gleich Avenger runterladen, aber mit dem Ausführen warten, bis du mir gesagt hast, was ich mit der qoobox.zip anstellen soll.

Bis bald!
__________________
Angehängte Grafiken
Dateityp: png Qoo_01.png (8,6 KB, 183x aufgerufen)

Alt 12.11.2009, 08:12   #19
Chris4You
 
roore.ws/1.exe trotz KasperskyIS - Standard

roore.ws/1.exe trotz KasperskyIS


Hi,

nircmd.exe gehört zu comboFix...
Bitte umgehend das Avenger-Script und die Registerybereinigung abfackeln und danach MAM updaten und noch mal laufen lassen, um die Reste vom Silentbanker (das Macromedia-Teil) loszuwerden.

Danach ComboFix deinstallieren (Start->Ausführen->combofix /u), neu runterladen, offline gehen und ihn laufen lassen. Log posten...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 12.11.2009, 18:56   #20
icke040
 
roore.ws/1.exe trotz KasperskyIS - Standard

roore.ws/1.exe trotz KasperskyIS


Hallo Chris,

schön, dass du wieder (für mich) da bist.

Hab Avenger laufen lassen, Report hier:

Zitat:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "c:\dokume~1\Besitzer\ANWEND~1\MACROM~1\Common\0b30a0141.dll" deleted successfully.
File "c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Macromedia\Common\0b30a01419.exe" deleted successfully.
Folder "c:\dokumente und einstellungen\LocalService\Anwendungsdaten\Macromedia\Common" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Das Registry-Teil hab ich auch laufen lassen. Dabei fällt mir ein, das ich seit einiger Zeit keinen Ton habe. Dann kam das mit dem Trojaner, oder was auch immer Kitty ate it oder Silentbanker sind. Auf das Fixen des Tons wollte ich mich danach konzentrieren. Oder hat der Tonausfall irgendwas mit der bösartigen Tätigkeit auf meinem Computer zu tun?

MaM läuft gerade. Das dauert ja ein Weilchen, jedenfalls der volle Scan.

Kann ich ComboFix auch über was anderes deinstallieren? Mit der "Ausführen"-Box kenn ich mich nicht aus. Damit kann ich nicht mal den Editor starten. Vielleicht find ich ComboFix im CCleaner?

Bist du guter Hoffnung, dass der ganze Müll von meiner Festplatte durch deine Maßnahmen verschwinden wird? Das wär toll.

Bis gleich, icke.


Alt 13.11.2009, 08:04   #21
Chris4You
 
roore.ws/1.exe trotz KasperskyIS - Standard

roore.ws/1.exe trotz KasperskyIS


Hi,

der Ton ist weg, weil das Teil sich als diese Treiber hat registrieren lassen (d. h. Du hast das Teil seid der Ton weg war!)... Die verseuchten Reg.-Einträge habe ich über das Script endgelöst, so dass Du die Treiber neu installieren musst...
(sollte hoffentlich kein Problem sein)...

Bitte noch einmal MAM updaten und laufen lassen...

Danach noch SilentRunner:
Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen.
Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten.
http://www.silentrunners.org/Silent%20Runners.zip

Was treibt der Rechner so?

chris
__________________
--> roore.ws/1.exe trotz KasperskyIS

Alt 13.11.2009, 17:29   #22
icke040
 
roore.ws/1.exe trotz KasperskyIS - Standard

roore.ws/1.exe trotz KasperskyIS


Hallo,

aha, über den Ton hat sich der Mistkerl eingenistet. Na da werd ich mal die CD meiner Soundkarte suchen.

Hier ist der Report von MaM gleich nach dem Laufen von Avenger und dem Registrieren der reg-datei:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3155
Windows 5.1.2600 Service Pack 2

12.11.2009 19:19:57
mbam-log-2009-11-12 (19-19-57).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|H:\|)
Durchsuchte Objekte: 192811
Laufzeit: 37 minute(s), 26 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rundll32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wab (Trojan.Dropper) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Macromedia\Common\0b30a01419.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
--------------------EoF---------------


Gleich danach hab ich MaM nochmal laufen lassen:

Malwarebytes' Anti-Malware 1.41
Datenbank Version: 3155
Windows 5.1.2600 Service Pack 2

12.11.2009 20:38:09
mbam-log-2009-11-12 (20-38-09).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|H:\|)
Durchsuchte Objekte: 192675
Laufzeit: 35 minute(s), 34 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
------------------EoF-------------------


ComboFix hab ich wirklich nach deiner Anleitung deinstalliert bekommen Und danch neu runtergeladen und laufen lassen: (dieses "NewlyCreated* - SBAPIFS" gefält mir gar nicht)

ComboFix 09-11-13.02 - Besitzer 12.11.2009 21:35.3.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.49.1031.18.1471.1028 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Besitzer\Desktop\Test.exe.exe
AV: Avira AntiVir PersonalEdition *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {00000000-0000-0000-0000-000000000000}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00DA-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00EB-0D24-347CA8A3377C}
AV: Avira AntiVir PersonalEdition Classic *On-access scanning enabled* (Updated) {804FD0EC-FFA4-00FC-0D24-347CA8A3377C}
AV: Kaspersky Internet Security *On-access scanning disabled* (Outdated) {2C4D4BC6-0793-4956-A9F9-E252435469C0}
FW: Kaspersky Internet Security *disabled* {2C4D4BC6-0793-4956-A9F9-E252435469C0}

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

H:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2009-10-12 bis 2009-11-12 ))))))))))))))))))))))))))))))
.

2009-11-06 08:18 . 2009-08-05 13:58 93872 ----a-w- c:\windows\system32\drivers\SBREDrv.sys
2009-11-06 08:18 . 2009-11-06 09:19 -------- d-----w- C:\VIPRERESCUE
2009-11-02 20:38 . 2009-11-02 20:34 102664 ----a-w- c:\windows\system32\drivers\tmcomm.sys
2009-11-02 20:32 . 2009-11-02 20:41 -------- d-----w- c:\dokumente und einstellungen\Besitzer\.housecall6.6
2009-11-01 13:19 . 2009-11-01 13:19 -------- d-----w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Malwarebytes
2009-11-01 13:18 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-01 13:18 . 2009-11-01 13:18 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-11-01 13:18 . 2009-11-01 13:19 -------- d-----w- c:\programme\Malwarebytes' Anti-Malware
2009-11-01 13:18 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-25 21:46 . 2009-10-25 21:46 -------- d-----w- c:\programme\TeaTimer (Spybot - Search & Destroy)
2009-10-25 21:46 . 2009-10-25 21:46 -------- d-----w- c:\programme\Misc. Support Library (Spybot - Search & Destroy)
2009-10-25 21:45 . 2009-10-25 21:45 -------- d-----w- c:\programme\SDHelper (Spybot - Search & Destroy)
2009-10-25 21:45 . 2009-10-25 21:45 -------- d-----w- c:\programme\File Scanner Library (Spybot - Search & Destroy)
2009-10-24 07:10 . 2009-10-24 07:10 27656 ----a-w- c:\windows\system32\drivers\pxsec.sys
2009-10-24 07:10 . 2009-10-24 07:10 22024 ----a-w- c:\windows\system32\drivers\pxscan.sys
2009-10-24 07:09 . 2009-10-24 07:09 787000 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI\~PrevxCSIUpdate.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-11-12 20:09 . 2009-06-22 15:17 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2009-11-12 20:07 . 2009-06-22 15:17 319520 --sha-w- c:\windows\system32\drivers\fidbox2.dat
2009-11-12 20:07 . 2009-06-22 15:17 2172 --sha-w- c:\windows\system32\drivers\fidbox2.idx
2009-11-12 20:07 . 2009-06-22 15:17 2050080 --sha-w- c:\windows\system32\drivers\fidbox.dat
2009-11-12 20:07 . 2009-06-22 15:17 19192 --sha-w- c:\windows\system32\drivers\fidbox.idx
2009-11-09 22:14 . 2006-10-17 11:41 -------- d-----w- c:\programme\Zoom Player
2009-11-09 17:16 . 2006-10-12 09:52 40616 ----a-w- c:\dokumente und einstellungen\Besitzer\Lokale Einstellungen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2009-11-08 01:00 . 2009-11-08 01:00 0 ----a-w- c:\windows\system32\SBRC.dat
2009-11-02 09:06 . 2009-06-30 21:08 117760 ----a-w- c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-10-25 22:05 . 2008-09-01 19:01 -------- d-----w- c:\programme\Spybot - Search & Destroy
2009-10-25 21:53 . 2008-09-01 19:01 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2009-10-25 07:40 . 2004-11-11 12:00 48276 ----a-w- c:\windows\system32\perfc007.dat
2009-10-25 07:40 . 2004-11-11 12:00 316942 ----a-w- c:\windows\system32\perfh007.dat
2009-10-24 07:27 . 2008-09-04 08:08 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\PrevxCSI
2009-10-18 20:27 . 2008-09-03 10:41 -------- d-----w- c:\programme\SUPERAntiSpyware
2009-10-14 18:44 . 2009-06-22 15:21 95259 ----a-w- c:\windows\system32\drivers\klick.dat
2009-10-14 18:44 . 2009-06-22 15:21 108059 ----a-w- c:\windows\system32\drivers\klin.dat
2009-10-11 08:06 . 2009-10-11 08:06 -------- d-----w- c:\programme\Gigaflat
2009-10-07 13:41 . 2009-10-07 10:21 -------- d-----w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\NOS
2009-09-07 12:02 . 2007-08-27 09:26 27944 ----a-w- c:\windows\system32\SBBD.exe
2009-08-30 18:42 . 2009-08-30 18:42 59920 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\mzvkbd.dll
2009-08-30 18:42 . 2009-08-30 18:42 109072 ----a-w- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Kaspersky Lab\AVP8\Data\Updater\Temporary Files\temporaryFolder\AutoPatches\kav8exec\8.0.0.506\mzvkbd3.dll
2004-03-11 12:27 . 2007-01-19 16:56 40960 ----a-w- c:\programme\Uninstall_CDS.exe
2006-05-03 10:06 . 2008-05-18 15:59 163328 --sh--r- c:\windows\system32\flvDX.dll
2007-02-21 11:47 . 2008-05-18 15:59 31232 --sh--r- c:\windows\system32\msfDX.dll
2007-12-17 13:43 . 2008-05-18 15:59 27648 --sh--w- c:\windows\system32\Smab0.dll
.

------- Sigcheck -------

[-] 2004-11-11 . 09EB23A4567BDD56D9580A059E616E23 . 359040 . . [5.1.2600.2505] . . c:\windows\system32\drivers\tcpip.sys

[-] 2004-11-11 . DB37D307003055ED09711CB3417814C7 . 507392 . . [5.1.2600.2180] . . c:\windows\system32\winlogon.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-10-18 2000112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-10-10 7286784]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-10-10 86016]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"InCD"="c:\programme\Ahead\InCD\InCD.exe" [2006-03-23 1398272]
"mxomssmenu"="c:\programme\Maxtor\OneTouch Status\maxmenumgr.exe" [2007-09-06 169264]
"SBCSTray"="c:\programme\Sunbelt Software\CounterSpy\SBCSTray.exe" [2007-12-21 698864]
"AVP"="c:\programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2009-07-21 208616]
" Malwarebytes Anti-Malware (reboot)"="c:\programme\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2005-10-10 1519616]
"C-Media Mixer"="Mixer.exe" - c:\windows\mixer.exe [2007-08-14 1228800]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-11-11 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-10-11 17:22 548352 ----a-w- c:\programme\SUPERAntiSpyware\SASWINLO.DLL

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\SBCSSvc]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"c:\\WINDOWS\\system32\\sessmgr.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;c:\windows\system32\drivers\klbg.sys [29.01.2008 16:29 33808]
R0 pxscan;pxscan;c:\windows\system32\drivers\pxscan.sys [24.10.2009 08:10 22024]
R0 pxsec;pxsec;c:\windows\system32\drivers\pxsec.sys [24.10.2009 08:10 27656]
R0 SBHR;SBHR;c:\windows\system32\drivers\sbhr.sys [26.03.2008 12:53 15544]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\SASDIFSV.SYS [19.08.2008 22:34 9968]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [19.08.2008 22:34 74480]
R1 SBRE;SBRE;c:\windows\system32\drivers\SBREDrv.sys [06.11.2009 09:18 93872]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;c:\windows\system32\drivers\klfltdev.sys [13.03.2008 17:02 26640]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [19.08.2008 22:34 7408]
R3 SBAPIFS;SBAPIFS;\??\c:\windows\system32\drivers\sbapifs.sys --> c:\windows\system32\drivers\sbapifs.sys [?]
S3 EC168BDA;EC168BDA service;c:\windows\system32\drivers\EC168BDA.sys [09.11.2008 13:28 87296]
S3 ptiusbf;PTI USB Filter;c:\windows\system32\drivers\ptiusbf.sys [14.04.2001 00:22 22474]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - SBAPIFS
*Deregistered* - mbr
*Deregistered* - PROCEXP113
.
.
------- Zusätzlicher Suchlauf -------
.
uStart Page = about:blank
mStart Page = about:blank
FF - ProfilePath - c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\q0w5505z.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com/ig?hl=de&source=iglk
FF - component: c:\dokumente und einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Profiles\q0w5505z.default\extensions\{a7c6cf7f-112c-4500-a7ea-39801a327e5f}\platform\WINNT_x86-msvc\components\ipc.dll
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-12 21:40
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(716)
c:\windows\system32\sfc_os.dll
c:\programme\SUPERAntiSpyware\SASWINLO.DLL
.
Zeit der Fertigstellung: 2009-11-12 21:42
ComboFix-quarantined-files.txt 2009-11-12 20:42
ComboFix2.txt 2009-11-09 17:30

Vor Suchlauf: 10 Verzeichnis(se), 22.440.562.688 Bytes frei
Nach Suchlauf: 12 Verzeichnis(se), 22.413.017.088 Bytes frei

- - End Of File - - CB8A658906637356C3A98067DC434F61

PrevX hatte doch noch Grund zur Klage (Screenshot)
Zitat:
wilx34i.dll in c:\windows\
Ist da wirklich was los?

virustotal sagt zu dieser Datei:

Datei WILX34I.DLL empfangen 2009.11.13 16:16:52 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 2/41 (4.88%)

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.41 2009.11.13 -
AhnLab-V3 5.0.0.2 2009.11.13 -
AntiVir 7.9.1.65 2009.11.13 -
Antiy-AVL 2.0.3.7 2009.11.13 -
Authentium 5.2.0.5 2009.11.13 -
Avast 4.8.1351.0 2009.11.13 -
AVG 8.5.0.425 2009.11.13 -
BitDefender 7.2 2009.11.13 -
CAT-QuickHeal 10.00 2009.11.13 -
ClamAV 0.94.1 2009.11.13 -
Comodo 2943 2009.11.13 -
DrWeb 5.0.0.12182 2009.11.13 -
eSafe 7.0.17.0 2009.11.12 -
eTrust-Vet 35.1.7119 2009.11.13 -
F-Prot 4.5.1.85 2009.11.13 -
F-Secure 9.0.15370.0 2009.11.11 -
Fortinet 3.120.0.0 2009.11.13 -
GData 19 2009.11.13 -
Ikarus T3.1.1.74.0 2009.11.13 -
Jiangmin 11.0.800 2009.11.12 -
K7AntiVirus 7.10.896 2009.11.13 -
Kaspersky 7.0.0.125 2009.11.13 -
McAfee 5800 2009.11.12 -
McAfee+Artemis 5800 2009.11.12 Artemis!463C16D4F2B2
McAfee-GW-Edition 6.8.5 2009.11.13 -
Microsoft 1.5202 2009.11.13 -
NOD32 4604 2009.11.13 -
Norman 6.03.02 2009.11.13 -
nProtect 2009.1.8.0 2009.11.13 -
Panda 10.0.2.2 2009.11.13 -
PCTools 7.0.3.5 2009.11.13 -
Prevx 3.0 2009.11.13 Medium Risk Malware
Rising 22.21.04.09 2009.11.13 -
Sophos 4.47.0 2009.11.13 -
Sunbelt 3.2.1858.2 2009.11.12 -
Symantec 1.4.4.12 2009.11.13 -
TheHacker 6.5.0.2.067 2009.11.12 -
TrendMicro 9.0.0.1003 2009.11.13 -
VBA32 3.12.10.11 2009.11.13 -
ViRobot 2009.11.13.2035 2009.11.13 -
VirusBuster 4.6.5.0 2009.11.13 -
weitere Informationen
File size: 25984 bytes
MD5...: 463c16d4f2b291663ec8473e55a7fb60
SHA1..: 30396ec7e86537523436fcfc28c7419dc79cf791
SHA256: 826c4d5afa6cb6e20d17ce1da1b880827cf7d32e337a77dcaf8e282ea51ecbc5
ssdeep: 768:80Fz7CBeDucpqpcJQqK7S39NuF9WvLmdb:9oeaO9JVK4v4b
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0xe10a
timedatestamp.....: 0x3e02329c (Thu Dec 19 20:57:00 2002)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4e00 0x4e00 6.77 bde54932578d23e2983e6c3255abd835
.rdata 0x6000 0xc00 0xc00 2.52 040cfe68d6c4b7f87df00f5bd6987ddc
.data 0x7000 0x45d8 0x200 0.00 bf619eac0cdf3f68d496ea9344137e8b
.rsrc 0xc000 0xbd0 0x600 3.29 bd9b01cb92656312b09f696031159349
Oreloc 0xd000 0x800 0x800 1.89 4b51621564ffa15ffe5fcded674378e2
.neolit 0xe000 0x18ea 0x1a00 6.49 98146d643b19ed846f62e355d50cef63
.reloc 0x10000 0xdc 0x200 3.24 6ef62733de7a3720f3d5e8aa3c2eb561

( 2 imports )
> KERNEL32.dll: GetProcAddress, LoadLibraryA
> USER32.dll: GetWindowTextA

( 2 exports )
_WILExtender2@40, _WILExtenderQuery@12
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
packers (Kaspersky): NeoLite
packers (F-Prot): Neolite
sigcheck:
publisher....: Wilson WindowWare, Inc.
copyright....: Copyright (c) 1994-2003 Wilson WindowWare, Inc. All rights reserved.
product......: WIL WILX Extender DLL
description..: WIL WILX Extender DLL
original name: n/a
internal name: WILX Extender
file version.: 39000
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=2970DB0B8048BB48653400A15F76C400417685D9' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=2970DB0B8048BB48653400A15F76C400417685D9</a>
---------------EoF-------------------

Silentrunner werd ich gleich runterladen und anwerfen. Mal sehen was da rauskommt.

Tja, der Computer an sich läuft jetzt ohne Mucken, zuvor ist er immer langsamer geworden, je länger ich online war. Was da unter der Haube läuft, kann ich natürlich nicht beurteilen.

Übrigens hat sich Combofix bei jedem Sart beschwert, dass da noch AVIRA aktiv wäre. (Screenshot). Den Virenscanner hab ich aber längst nicht mehr auf dem Rechner. Dachte auch, dass CCleaner alle Reste entfernt hätte.

Und was hat es mit der Wiederherstellungskonsole auf sich? Nach der verlangt Combofix ja immer wieder. Übrigens hat mir eines der Tools (ich vermute Combofix), einiges in Windows verändert: versteckte Dateien werden nicht angezeigt, IE ist aktiv, Sicherheitscenter auch.

Hab was über SilentBanker gelesen: Wenn das wirklich der Bösewicht war, hab ich gut daran getan, seitdem ich bemerkt hatte, das da was schief läuft, auf OnlineBanking zu verzichten. Muss wohl trotzdem die Kontoauszüge kontrollieren.

Bis bald!
Miniaturansicht angehängter Grafiken
roore.ws/1.exe trotz KasperskyIS-prevx_01.jpg  
Angehängte Grafiken
Dateityp: png combo_06.png (6,1 KB, 240x aufgerufen)

Alt 13.11.2009, 21:10   #23
icke040
 
roore.ws/1.exe trotz KasperskyIS - Standard

roore.ws/1.exe trotz KasperskyIS


Hallo,

silentrunner ergab dieses:

"Silent Runners.vbs", revision 60, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"SUPERAntiSpyware" = "C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" ["SUPERAntiSpyware.com"]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"InCD" = "C:\Programme\Ahead\InCD\InCD.exe" ["Nero AG"]
"mxomssmenu" = ""C:\Programme\Maxtor\OneTouch Status\maxmenumgr.exe"" ["Maxtor Corporation"]
"SBCSTray" = "C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe" ["Sunbelt Software"]
"C-Media Mixer" = "Mixer.exe /startup" ["C-Media Electronic Inc. (www.cmedia.com.tw)"]
"AVP" = ""C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"" ["Kaspersky Lab"]
" Malwarebytes Anti-Malware (reboot)" = ""C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript" ["Malwarebytes Corporation"]

HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\
>{26923b43-4d38-484f-9b9e-de460746276c}\(Default) = "Internet Explorer"
\StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigIE" [MS]
>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}\(Default) = "Outlook Express"
\StubPath = "C:\WINDOWS\system32\shmgrate.exe OCInstallUserConfigOE" [MS]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]

{59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C}\(Default) = "IEVkbdBHO"
-> {HKLM...CLSID} = "IEVkbdBHO Class"
\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll" ["Kaspersky Lab"]

{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\ssv.dll" ["Sun Microsystems, Inc."]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\

"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]

"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]

"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]

"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]

"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]

"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]

"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]

"{950FF917-7A57-46BC-8017-59D9BF474000}" = "Shell Extension for CDRW"
-> {HKLM...CLSID} = "Shell Extension for CDRW"
\InProcServer32\(Default) = "C:\Programme\Ahead\InCD\incdshx.dll" ["Nero AG"]

"{CA5FEE26-14C1-4B5A-86E9-233FC0EE2682}" = "IZArc DragDrop Menu"
-> {HKLM...CLSID} = "IZArc DragDrop Menu"
\InProcServer32\(Default) = "C:\Programme\IZArc\IZArcCM.dll" [null data]

"{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}" = "IZArc Shell Context Menu"
-> {HKLM...CLSID} = "IZArc Shell Context Menu"
\InProcServer32\(Default) = "C:\Programme\IZArc\IZArcCM.dll" [null data]

"{23170F69-40C1-278A-1000-000100020000}" = "7-Zip Shell Extension"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]

"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

"{2C49B5D0-ACE7-4D17-9DF0-A254A6C5A0C5}" = "dBpoweramp Music Converter"
-> {HKLM...CLSID} = "dMCIShell Class"
\InProcServer32\(Default) = "C:\Programme\Illustrate\dBpoweramp\dMCShell.dll" ["Illustrate"]

"{0561EC90-CE54-4f0c-9C55-E226110A740C}" = "Haali Column Provider"
-> {HKLM...CLSID} = "Haali Column Provider"
\InProcServer32\(Default) = "C:\Programme\Avi2Dvd\Programs\Filters\Haali media splitter\mmfinfo.dll" [null data]

"{8BE13461-936F-11D1-A87D-444553540000}" = "Eraser Shell Extension"
-> {HKLM...CLSID} = "Eraser Shell Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\erasext.dll" ["-"]

"{85E0B171-04FA-11D1-B7DA-00A0C90348D6}" = "Statistik für den Schutz des Web-Datenverkehrs"
-> {HKLM...CLSID} = "Statistik für den Schutz des Web-Datenverkehrs"
\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll" ["Kaspersky Lab"]

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> !SASWinLogon\DLLName = "C:\Programme\SUPERAntiSpyware\SASWINLO.DLL" ["SUPERAntiSpyware.com"]
<<!>> klogon\DLLName = "C:\WINDOWS\system32\klogon.dll" ["Kaspersky Lab"]

HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\

7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]

Erasext\(Default) = "{8BE13461-936F-11D1-A87D-444553540000}"
-> {HKLM...CLSID} = "Eraser Shell Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\erasext.dll" ["-"]

IZArcCM\(Default) = "{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}"
-> {HKLM...CLSID} = "IZArc Shell Context Menu"
\InProcServer32\(Default) = "C:\Programme\IZArc\IZArcCM.dll" [null data]

Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ShellEx.dll" ["Kaspersky Lab"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\

MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
-> {HKLM...CLSID} = "MBAMShlExt Class"
\InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]

HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\

7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]

IZArcCM\(Default) = "{8D9D4D0D-FDDD-44CB-AAB2-6161FA0757C5}"
-> {HKLM...CLSID} = "IZArc Shell Context Menu"
\InProcServer32\(Default) = "C:\Programme\IZArc\IZArcCM.dll" [null data]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Directory\shellex\DragDropHandlers\

7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]

IZArcCM\(Default) = "{CA5FEE26-14C1-4B5A-86E9-233FC0EE2682}"
-> {HKLM...CLSID} = "IZArc DragDrop Menu"
\InProcServer32\(Default) = "C:\Programme\IZArc\IZArcCM.dll" [null data]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Directory\Background\shellex\ContextMenuHandlers\

00nView\(Default) = "{1E9B04FB-F9E5-4718-997B-B8DA88302A48}"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]

InCDMenu\(Default) = "{950FF917-7A57-46BC-8017-59D9BF474000}"
-> {HKLM...CLSID} = "Shell Extension for CDRW"
\InProcServer32\(Default) = "C:\Programme\Ahead\InCD\incdshx.dll" ["Nero AG"]

NvCplDesktopContext\(Default) = "{A70C977A-BF00-412C-90B7-034C51DA2439}"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]

HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\

{0561EC90-CE54-4f0c-9C55-E226110A740C}\(Default) = "Haali Column Provider"
-> {HKLM...CLSID} = "Haali Column Provider"
\InProcServer32\(Default) = "C:\Programme\Avi2Dvd\Programs\Filters\Haali media splitter\mmfinfo.dll" [null data]

{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

{FED7043D-346A-414D-ACD7-550D052499A7}\(Default) = "dBpoweramp Column Handler"
-> {HKLM...CLSID} = "dBpShell Class"
\InProcServer32\(Default) = "C:\Programme\Illustrate\dBpoweramp\dBShell.dll" ["Illustrate"]

HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\

Erasext\(Default) = "{8BE13461-936F-11D1-A87D-444553540000}"
-> {HKLM...CLSID} = "Eraser Shell Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\erasext.dll" ["-"]

Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ShellEx.dll" ["Kaspersky Lab"]

MBAMShlExt\(Default) = "{57CE581A-0CB6-4266-9CA0-19364C90A0B3}"
-> {HKLM...CLSID} = "MBAMShlExt Class"
\InProcServer32\(Default) = "C:\Programme\Malwarebytes' Anti-Malware\mbamext.dll" ["Malwarebytes Corporation"]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\SOFTWARE\Classes\Folder\shellex\DragDropHandlers\

Erasext\(Default) = "{8BE13461-936F-11D1-A87D-444553540000}"
-> {HKLM...CLSID} = "Eraser Shell Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\erasext.dll" ["-"]

IZArcCM\(Default) = "{CA5FEE26-14C1-4B5A-86E9-233FC0EE2682}"
-> {HKLM...CLSID} = "IZArc DragDrop Menu"
\InProcServer32\(Default) = "C:\Programme\IZArc\IZArcCM.dll" [null data]

WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]


Default executables:
--------------------

<<!>> HKLM\SOFTWARE\Classes\.com\(Default) = "ComFile"


Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"ClearRecentDocsOnExit" = (REG_DWORD) dword:0x00000001
{unrecognized setting}

"NoDrives" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\

"NoDrives" = (REG_DWORD) dword:0x00000000
{unrecognized setting}

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\

"DisableRegistryTools" = (REG_DWORD) dword:0x00000000
{unrecognized setting}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Besitzer\Anwendungsdaten\Mozilla\Firefox\Desktop Hintergrund.bmp"


Windows Portable Device AutoPlay Handlers
-----------------------------------------

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\Handlers\

ACDSeeShowPicturesOnArrival\
"Provider" = "ACDSee"
"InvokeProgID" = "ACDSee.AutoPlayHandler"
"InvokeVerb" = "Open"
HKLM\SOFTWARE\Classes\ACDSee.AutoPlayHandler\shell\Open\command\(Default) = ""C:\Programme\ACD Systems\ACDSee\5.0\ACDSee5.exe" "%1"" ["ACD Systems Ltd."]

dMCAudioCDInput\
"Provider" = "dBpoweramp CD Ripper"
"InvokeProgID" = "dMC.AudioCD.Autorun"
"InvokeVerb" = "open"
HKLM\SOFTWARE\Classes\dMC.AudioCD.Autorun\shell\open\command\(Default) = ""C:\Programme\Illustrate\dBpoweramp\CDGrab.exe" %1" ["Illustrate"]

DVDDecrypterPlayDVDMovieOnArrival\
"Provider" = "DVD Decrypter"
"InvokeProgID" = "DVDDecrypter"
"InvokeVerb" = "PlayDVDMovieOnArrival_Decrypt"
HKLM\SOFTWARE\Classes\DVDDecrypter\shell\PlayDVDMovieOnArrival_Decrypt\Command\(Default) = ""C:\Programme\DVD Decrypter\DVDDecrypter.exe" /MODE READ /SOURCE "%1"" ["LIGHTNING UK!"]

DVDFabPlatinumOnDVDArrival\
"Provider" = "DVDFab Platinum"
"InvokeProgID" = "DVDFabPlatinumOpen"
"InvokeVerb" = "Open"
HKLM\SOFTWARE\Classes\DVDFabPlatinumOpen\shell\Open\command\(Default) = "C:\PROGRA~1\DVDFAB~2\DVDFAB~1.EXE" ["Fengtao Software Inc."]

NeroAutoPlay2AudioToNeroDigital\
"Provider" = "Nero Burning ROM"
"InvokeProgID" = "Nero.AutoPlay2"
"InvokeVerb" = "PlayCDAudioOnArrival_AudioToNeroDigital"
HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\PlayCDAudioOnArrival_AudioToNeroDigital\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /Dialog:SaveTracksND /Drive:%L" ["Ahead Software AG"]

NeroAutoPlay2CDAudio\
"Provider" = "Nero Express"
"InvokeProgID" = "Nero.AutoPlay2"
"InvokeVerb" = "HandleCDBurningOnArrival_CDAudio"
HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\HandleCDBurningOnArrival_CDAudio\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /w /New:AudioCD /Drive:%L" ["Ahead Software AG"]

NeroAutoPlay2CopyCD\
"Provider" = "Nero Express"
"InvokeProgID" = "Nero.AutoPlay2"
"InvokeVerb" = "PlayCDAudioOnArrival_CopyCD"
HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\PlayCDAudioOnArrival_CopyCD\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /w /DialogiscCopy /Drive:%L" ["Ahead Software AG"]

NeroAutoPlay2DataDisc\
"Provider" = "Nero Express"
"InvokeProgID" = "Nero.AutoPlay2"
"InvokeVerb" = "HandleCDBurningOnArrival_DataDisc"
HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\HandleCDBurningOnArrival_DataDisc\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /w /New:ISODisc /Drive:%L" ["Ahead Software AG"]

NeroAutoPlay2LaunchNeroStartSmart\
"Provider" = "Nero StartSmart"
"InvokeProgID" = "Nero.AutoPlay2"
"InvokeVerb" = "HandleCDBurningOnArrival_LaunchNeroStartSmart"
HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\HandleCDBurningOnArrival_LaunchNeroStartSmart\command\(Default) = "C:\Programme\Ahead\Nero StartSmart\NeroStartSmart.exe /AutoPlay /Drive:%L" ["Ahead Software AG"]

NeroAutoPlay2RipCD\
"Provider" = "Nero Burning ROM"
"InvokeProgID" = "Nero.AutoPlay2"
"InvokeVerb" = "PlayCDAudioOnArrival_RipCD"
HKLM\SOFTWARE\Classes\Nero.AutoPlay2\shell\PlayCDAudioOnArrival_RipCD\command\(Default) = "C:\Programme\Ahead\nero\nero.exe /Dialog:SaveTracks /Drive:%L" ["Ahead Software AG"]

VLCPlayCDAudioOnArrival\
"Provider" = "VideoLAN VLC media player"
"InvokeProgID" = "VLC.CDAudio"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\VLC.CDAudio\shell\play\command\(Default) = "C:\Programme\VideoLAN\VLC\vlc.exe --one-instance-when-started-from-file cdda:%1" ["VideoLAN Team"]

VLCPlayDVDMovieOnArrival\
"Provider" = "VideoLAN VLC media player"
"InvokeProgID" = "VLC.DVDMovie"
"InvokeVerb" = "play"
HKLM\SOFTWARE\Classes\VLC.DVDMovie\shell\play\command\(Default) = "C:\Programme\VideoLAN\VLC\vlc.exe --one-instance-when-started-from-file dvd:%1" ["VideoLAN Team"]


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 15
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Explorer Bars

HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\

HKLM\SOFTWARE\Classes\CLSID\{85E0B171-04FA-11D1-B7DA-00A0C90348D6}\(Default) = "Statistik für den Schutz des Web-Datenverkehrs"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll" ["Kaspersky Lab"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in 1.6.0_01"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.6.0_01"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll" ["Sun Microsystems, Inc."]

{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}\
"ButtonText" = "Statistik für den Schutz des Web-Datenverkehrs"


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

B's Recorder GOLD Library General Service, bgsvcgen, ""C:\WINDOWS\system32\bgsvcgen.exe"" ["B.H.A Corporation"]
InCD Helper, InCDsrv, "C:\Programme\Ahead\InCD\InCDsrv.exe" ["Nero AG"]
Kaspersky Internet Security, AVP, ""C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" -r" ["Kaspersky Lab"]
Maxtor Service, Maxtor Sync Service, "C:\Programme\Maxtor\Sync\SyncServices.exe" ["Seagate Technology LLC"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
Sunbelt CounterSpy Antispyware, SBCSSvc, ""C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe"" ["Sunbelt Software"]


Print Monitors:
---------------

HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\
SUGS2 Langmon\Driver = "SUGS2LMK.DLL" ["Samsung Electronics."]
VSP1:\Driver = "vsmon1.dll" [null data]


---------- (launch time: 2009-11-13 21:03:19)
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 93 seconds, including 12 seconds for message boxes)


Ganz schön viel Lesestoff.

Schönes Wochenende und bis bald!

Alt 13.11.2009, 22:45   #24
Chris4You
 
roore.ws/1.exe trotz KasperskyIS - Standard

roore.ws/1.exe trotz KasperskyIS


Hi,

die sbapifs.sys (und der Service) sollten zu:
C:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe"" ["Sunbelt Software"] bzw. C:\VIPRERESCUE gehören. Prüfe das mal über Virustotal.com.

Lass bei Virustotal auch die
c:\windows\system32\drivers\tcpip.sys
prüfen.

Die wilx34i.dll bitte von Prevx bereinigen lassen.
Wenn Du den Rechner für Homebanking benutzen willst, würde ich empfehlen Ihn platt zu machen, das ist das sicherste...

Sonst nichts mehr gesehen...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 15.11.2009, 21:10   #25
icke040
 
roore.ws/1.exe trotz KasperskyIS - Standard

roore.ws/1.exe trotz KasperskyIS


Hallo,

danke für die schnelle Antwort.

Zitat:
Lass bei Virustotal auch die
c:\windows\system32\drivers\tcpip.sys prüfen.
ergab:

Datei tcpip.sys empfangen 2009.11.15 19:52:57 (UTC)

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.41 2009.11.15 -
AhnLab-V3 5.0.0.2 2009.11.13 -
AntiVir 7.9.1.65 2009.11.15 -
Antiy-AVL 2.0.3.7 2009.11.13 -
Authentium 5.2.0.5 2009.11.15 -
Avast 4.8.1351.0 2009.11.15 -
AVG 8.5.0.425 2009.11.15 -
BitDefender 7.2 2009.11.15 -
CAT-QuickHeal 10.00 2009.11.13 -
ClamAV 0.94.1 2009.11.15 -
Comodo 2957 2009.11.15 -
DrWeb 5.0.0.12182 2009.11.15 -
eSafe 7.0.17.0 2009.11.15 -
eTrust-Vet 35.1.7121 2009.11.14 -
F-Prot 4.5.1.85 2009.11.15 -
F-Secure 9.0.15370.0 2009.11.11 -
Fortinet 3.120.0.0 2009.11.15 -
GData 19 2009.11.15 -
Ikarus T3.1.1.74.0 2009.11.15 -
Jiangmin 11.0.800 2009.11.12 -
K7AntiVirus 7.10.896 2009.11.13 -
Kaspersky 7.0.0.125 2009.11.15 -
McAfee 5803 2009.11.15 -
McAfee+Artemis 5803 2009.11.15 -
McAfee-GW-Edition 6.8.5 2009.11.15 Heuristic.LooksLike.Trojan.Peed.I
Microsoft 1.5202 2009.11.15 -
NOD32 4610 2009.11.15 -
Norman 6.03.02 2009.11.15 -
nProtect 2009.1.8.0 2009.11.15 -
Panda 10.0.2.2 2009.11.15 -
PCTools 7.0.3.5 2009.11.13 -
Prevx 3.0 2009.11.15 -
Rising 22.21.06.05 2009.11.15 -
Sophos 4.47.0 2009.11.15 -
Sunbelt 3.2.1858.2 2009.11.12 -
Symantec 1.4.4.12 2009.11.15 -
TheHacker 6.5.0.2.070 2009.11.14 -
TrendMicro 9.0.0.1003 2009.11.15 -
VBA32 3.12.10.11 2009.11.15 -
ViRobot 2009.11.14.2037 2009.11.14 -
VirusBuster 4.6.5.0 2009.11.15 -
weitere Informationen
File size: 359040 bytes
MD5...: 09eb23a4567bdd56d9580a059e616e23
SHA1..: 08f92da8c23d82e8c6e59c4293b9cb80e46561a4
SHA256: c75db4ab851f70da42f72b5e35c54c3e75d3d44ca907686adcffa473adeaad08
ssdeep: 6144:Zz7kfce2ijs7Wchmom6p+DmyiJcLeXJZfPeoMfntvgsJ/dfKuheJ5A:Zzbe
2iUWW66M2cLg9LMftt/I3
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x51196
timedatestamp.....: 0x411d45c1 (Fri Aug 13 22:50:41 2004)
machinetype.......: 0x14c (I386)

( 10 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x380 0x3e94e 0x3e980 6.59 5a720f1cab3a5b41fd08c950ff7b20af
.rdata 0x3ed00 0x57c 0x580 4.41 20f2956b25e2956148428004cf624d05
.data 0x3f280 0xa4a4 0xa500 0.06 23eed8fe582434d4b9bc7e201d352eee
PAGE 0x49780 0x1f27 0x1f80 6.39 282802fc700ccaf401b7e7165642efef
PAGEIPMc 0x4b700 0x2783 0x2800 6.41 ab97f31cdd32fb2b0aac2d13bd7d11cc
PAGELK 0x4df00 0x6f2 0x700 6.17 56f528e036ca025e239c9e2fcad941ee
.edata 0x4e600 0x2eb 0x300 5.34 2e7c9c6f03be1d1c2c645ab7748302e9
INIT 0x4e900 0x57f2 0x5800 6.21 5e09e530a8bd67b57e4e32812e49005b
.rsrc 0x54100 0x3e0 0x400 3.35 8913021b476928905d0830e1b0ada537
.reloc 0x54500 0x354c 0x3580 6.81 ca7c65958624e168b5de5493da512524

( 4 imports )
> HAL.dll: KfLowerIrql, KfRaiseIrql, KfReleaseSpinLock, KfAcquireSpinLock, KeGetCurrentIrql, KeRaiseIrqlToDpcLevel, KeQueryPerformanceCounter, ExAcquireFastMutex, ExReleaseFastMutex
> NDIS.SYS: NdisUnchainBufferAtFront, NdisAllocateBuffer, NdisFreePacket, NdisAllocatePacket, NdisSetPacketPoolProtocolId, NdisAllocatePacketPoolEx, NdisReturnPackets, NdisCompleteBindAdapter, NdisReEnumerateProtocolBindings, NdisFreeBufferPool, NdisFreePacketPool, NdisAllocateBufferPool, NdisCompletePnPEvent, NdisCloseAdapter, NdisCancelSendPackets, NdisRequest, NdisFreeMemory, NdisQueryAdapterInstanceName, NdisCopyBuffer, NdisRegisterProtocol, NdisGetReceivedPacket, NdisOpenAdapter, NdisGetDriverHandle
> ntoskrnl.exe: MmLockPagableSectionByHandle, _wcsicmp, wcscpy, wcsncpy, wcschr, RtlAppendUnicodeToString, RtlExtendedMagicDivide, ExLocalTimeToSystemTime, RtlTimeToTimeFields, RtlIpv4StringToAddressW, RtlUnicodeStringToInteger, ZwEnumerateValueKey, KeReadStateEvent, KeReleaseMutex, MmIsThisAnNtAsSystem, KeInitializeMutex, IoRaiseInformationalHardError, RtlAnsiStringToUnicodeString, RtlUnicodeStringToAnsiString, InterlockedPopEntrySList, InterlockedPushEntrySList, ZwQueryValueKey, ZwSetValueKey, ExIsProcessorFeaturePresent, RtlAddAccessAllowedAce, RtlCreateAcl, RtlLengthSid, SeExports, RtlMapGenericMask, IoGetFileObjectGenericMapping, ObReleaseObjectSecurity, SeSetSecurityDescriptorInfo, RtlLengthSecurityDescriptor, RtlSetDaclSecurityDescriptor, RtlCreateSecurityDescriptor, ObGetObjectSecurity, IofCallDriver, IoBuildDeviceIoControlRequest, IoGetDeviceObjectPointer, ObfDereferenceObject, RtlAddAce, RtlGetAce, MmLockPagableDataSection, RtlInitializeSid, RtlLengthRequiredSid, ObSetSecurityObjectByPointer, RtlSelfRelativeToAbsoluteSD, RtlGetSaclSecurityDescriptor, RtlGetGroupSecurityDescriptor, RtlGetOwnerSecurityDescriptor, RtlGetDaclSecurityDescriptor, RtlVerifyVersionInfo, VerSetConditionMask, IoWMIRegistrationControl, IoGetCurrentProcess, KeInitializeTimerEx, RtlExtendedIntegerMultiply, KeQueryInterruptTime, _aulldiv, DbgBreakPoint, KeSetTargetProcessorDpc, RtlSetBit, SeUnlockSubjectContext, SeAccessCheck, SeLockSubjectContext, ObDereferenceSecurityDescriptor, PsGetCurrentProcessId, RtlWalkFrameChain, _aulldvrm, ExNotifyCallback, ExCreateCallback, ObReferenceObjectByHandle, MmUnlockPages, SeFreePrivileges, SeAppendPrivileges, ObLogSecurityDescriptor, SeAssignSecurity, IoFileObjectType, MmProbeAndLockPages, IoAllocateMdl, _except_handler3, ProbeForWrite, ObfReferenceObject, PsGetCurrentProcess, RtlPrefetchMemoryNonTemporal, ExInitializeNPagedLookasideList, KeInitializeDpc, KeInitializeTimer, KeSetTimerEx, ZwClose, IoCreateDevice, IoDeleteDevice, ZwOpenKey, KeDelayExecutionThread, KeWaitForSingleObject, ExDeleteNPagedLookasideList, MmUnlockPagableImageSection, RtlInitUnicodeString, IoCreateSymbolicLink, IoDeleteSymbolicLink, KeSetEvent, KeQueryTimeIncrement, KeEnterCriticalRegion, KeLeaveCriticalRegion, ZwSetInformationThread, KeQuerySystemTime, _allmul, _alldiv, MmQuerySystemSize, ExfInterlockedInsertTailList, RtlCompareUnicodeString, RtlInitializeBitMap, RtlClearAllBits, RtlSetBits, wcslen, RtlCompareMemory, RtlAreBitsSet, RtlClearBits, RtlFindClearBitsAndSet, RtlFindClearRuns, KeCancelTimer, KeClearEvent, DbgPrint, memmove, RtlCopyUnicodeString, RtlAppendUnicodeStringToString, ZwLoadDriver, KeResetEvent, MmMapLockedPages, KeInitializeSpinLock, IoAcquireCancelSpinLock, IoReleaseCancelSpinLock, IofCompleteRequest, KeInitializeEvent, ExfInterlockedAddUlong, ExAllocatePoolWithTag, MmMapLockedPagesSpecifyCache, IoFreeMdl, KefAcquireSpinLockAtDpcLevel, KefReleaseSpinLockFromDpcLevel, KeNumberProcessors, ExFreePoolWithTag, ExAllocatePoolWithTagPriority, KeBugCheckEx, RtlSubAuthoritySid, KeTickCount, MmBuildMdlForNonPagedPool, ZwDeviceIoControlFile, ZwCreateFile
> TDI.SYS: CTESignal, CTESystemUpTime, CTEScheduleDelayedEvent, CTEInitEvent, CTEStartTimer, CTEInitTimer, CTEBlock, TdiProviderReady, CTEInitialize, TdiDeregisterNetAddress, TdiRegisterNetAddress, TdiDeregisterDeviceObject, CTEBlockWithTracker, CTELogEvent, TdiRegisterDeviceObject, TdiCopyMdlChainToMdlChain, TdiPnPPowerRequest, TdiDeregisterProvider, TdiRegisterProvider, TdiInitialize, TdiDeregisterPnPHandlers, TdiRegisterPnPHandlers, CTEScheduleEvent, TdiCopyBufferToMdl, CTERemoveBlockTracker, CTEInsertBlockTracker, TdiMapUserRequest, TdiCopyBufferToMdlWithReservedMappingAtDpcLevel

( 27 exports )
FreeIprBuff, GetIFAndLink, IPAddInterface, IPAllocBuff, IPDelInterface, IPDelayedNdisReEnumerateBindings, IPDeregisterARP, IPDisableSniffer, IPEnableSniffer, IPFreeBuff, IPGetAddrType, IPGetBestInterface, IPGetInfo, IPInjectPkt, IPProxyNdisRequest, IPRegisterARP, IPRegisterProtocol, IPSetIPSecStatus, IPTransmit, LookupRoute, LookupRouteInformation, LookupRouteInformationWithBuffer, SendICMPErr, SetIPSecPtr, UnSetIPSecPtr, UnSetIPSecSendPtr, tcpxsum
RDS...: NSRL Reference Data Set
-
pdfid.: -
sigcheck:
publisher....: Microsoft Corporation
copyright....: (c) Microsoft Corporation. All rights reserved.
product......: Microsoft_ Windows_ Operating System
description..: TCP/IP Protocol Driver
original name: tcpip.sys
internal name: tcpip.sys
file version.: 5.1.2600.2505 (xpsp.040806-1825)
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
trid..: Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
-----------------------EoF---------------

Ist das ein FUND?

Zitat:
Die wilx34i.dll bitte von Prevx bereinigen lassen.
Kann ich leider nicht, dazu müsste ich PrevX in der Vollversion kaufen. (Licence required to clean.)

Die sbapifs.sys find ich blöderweise nicht. Selbst die Suche im Windows-Explorer gibt nichts her.
In welchem Ordner liegt die?

Gute Nacht!

Alt 16.11.2009, 09:01   #26
Chris4You
 
roore.ws/1.exe trotz KasperskyIS - Standard

roore.ws/1.exe trotz KasperskyIS


Hi,

Bitte folgende Files prüfen:

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
ATTFilter
c:\windows\system32\drivers\sbapifs.sys
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!
Falls Du die Datei nicht findest, einfach mit Pfad in das Eingabefenster bei virustotal kopieren (c:\windows\system32\drivers\sbapifs.sys) und hochladen... (Das Teil ist mit R markiert, muss also laufen...)

Also:
Anleitung Avenger (by swandog46)

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:



2.) Das Programm so einstellen wie es auf dem Bild zu sehen ist.

Kopiere nun folgenden Text in das weiße Feld:
(bei -> "input script here")

Code:
ATTFilter
Files to delete:
C:\windows\wilx34i.dll
3.) Schliesse nun alle Programme (vorher notfalls abspeichern!) und Browser-Fenster, nach dem Ausführen des Avengers wird das System neu gestartet.

4.) Um den Avenger zu starten klicke auf -> Execute
Dann bestätigen mit "Yes" das der Rechner neu startet!

5.) Nachdem das System neu gestartet ist, findest du hier einen Report vom Avenger -> C:\avenger.txt
Öffne die Datei mit dem Editor und kopiere den gesamten Text in deinen Beitrag hier am Trojaner-Board.

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 17.11.2009, 16:56   #27
icke040
 
roore.ws/1.exe trotz KasperskyIS - Standard

roore.ws/1.exe trotz KasperskyIS


Hallo,

so sehr ich es auch möchte, diese verflixte sbapifs.sys ist einfach nicht zu finden. Auch wenn ich ganz genau nach Anleitung mir alle Dateien anzeigen lasse.

Bei virustotal kann ich zwar in das weiße Feld klicken, dann kommt aber gleich ein Fenster raus, das auch nach dem Klicken auf "Durchsuchen" kommt. Dort muss ich dann den genauen Pfad zur Datei angeben. Wenn ich den Pfad zur Datei kopiere und im Suchfenster einfüge, erhalte ich die im Screenshot gezeigte Meldung. Wo steckt diese verdammte Datei?

Das mit Avenger werd ich gleich machen. Soll ich danach eines der Tools laufen lassen?

Hab letztens was von Spyware Terminator gelesen, was hältst du davon?
Zitat:
http://www.spywareterminator.com/de/
http://www.chip.de/downloads/Spyware-Terminator_25308463.html
Bis bald,

icke.
Angehängte Grafiken
Dateityp: png sbapifs_01.png (32,7 KB, 276x aufgerufen)
Dateityp: png sbapifs_02.png (13,4 KB, 237x aufgerufen)
Dateityp: png sbapifs_03.png (12,8 KB, 216x aufgerufen)

Alt 17.11.2009, 17:06   #28
Chris4You
 
roore.ws/1.exe trotz KasperskyIS - Standard

roore.ws/1.exe trotz KasperskyIS


Hallo,

hast Du was deinstalliert (eine der genannten Anwendungen)?
Ich wäre versucht ein neues CF-Log zu erstelllen, dazu CF deinstallieren (Start->Ausführen combofix /u) und dann neu runterladen, laufen lassen und Log posten...
Prüfe dann nach ob sie noch da ist und in welchem Zustand (im alten war sie als "running" gekennzeichnet, d.h. sie muss da sein), wenn sie im neuen Log den Status S hat (stopped), dann kann sie auch schon gelöscht sein, nur der Starteintrag ist dann noch da...

chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Alt 17.11.2009, 21:06   #29
icke040
 
roore.ws/1.exe trotz KasperskyIS - Standard

roore.ws/1.exe trotz KasperskyIS


Hi,

nö, deinstalliert hab ich in letzter Zeit nichts. Glaub ich jedenfalls.
Außer ComboFix, aber das war ja planmäßig.

Hier ist der Report von Avenger nach dem Script:
Zitat:
Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

File "C:\windows\wilx34i.dll" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.
Ja, an ComboFix hab ich auch schon gedacht. Werd es also wieder deinstallieren und neu raufbringen. Ok?

Na dann,

Alt 18.11.2009, 07:27   #30
Chris4You
 
roore.ws/1.exe trotz KasperskyIS - Standard

roore.ws/1.exe trotz KasperskyIS


Hi,

bitte wie beschrieben vorgehen...

Gruß,
chris
__________________
Don't bring me down
Vor dem posten beachten!
Spenden
(Wer spenden will, kann sich gerne melden )

Antwort
Seite 2 von 3 1 2 3

Themen zu roore.ws/1.exe trotz KasperskyIS
acrobat, aktiv, anfang, computer, dienste, fiese, firefox, image, internet, internet security, kis, kostenlose, lädt, meldung, meldungen, neues, neues fenster, nicht angezeigt, nicht geladen, plug-in, programm, scan, security, seite, seiten, selbständig, startet, system, taskmanager, win32.bredavi.agn


« brauch hilfe | HJT-Logfile - was nun? »


Ähnliche Themen: roore.ws/1.exe trotz KasperskyIS


  1. Pop ups trotz Pop up Blocker
    Plagegeister aller Art und deren Bekämpfung - 31.07.2014 (6)
  2. Pop up trotz pop up Blocker
    Plagegeister aller Art und deren Bekämpfung - 17.07.2014 (5)
  3. Bombadierung von Werbung trotz Add-Ons
    Plagegeister aller Art und deren Bekämpfung - 05.03.2014 (15)
  4. Trojaner Interpol Win XP - trotz abgesicherten Modus kein Zugriff - Standard AW: Trojaner Interpol Win XP - trotz abgesicherten Modus kein
    Log-Analyse und Auswertung - 18.02.2014 (18)
  5. GVU mit Webcam trotz Notfall-CD
    Plagegeister aller Art und deren Bekämpfung - 29.12.2012 (65)
  6. trotz kazy exe starten
    Plagegeister aller Art und deren Bekämpfung - 07.09.2012 (1)
  7. Keylogger auf pc trotz Formatierung
    Log-Analyse und Auswertung - 14.01.2010 (0)
  8. avast blockiert Zugriff auf roore.ws/updatet.exe
    Plagegeister aller Art und deren Bekämpfung - 16.11.2009 (15)
  9. Virus trotz formatieren!!!
    Antiviren-, Firewall- und andere Schutzprogramme - 29.09.2009 (4)
  10. IE-Popups trotz Mozilla
    Log-Analyse und Auswertung - 12.07.2009 (6)
  11. Virus trotz Neuinstallation
    Plagegeister aller Art und deren Bekämpfung - 10.05.2009 (3)
  12. Trojaner trotz Win neu
    Plagegeister aller Art und deren Bekämpfung - 05.05.2008 (18)
  13. Trotz Kaspersky
    Log-Analyse und Auswertung - 24.11.2006 (3)
  14. Komprimittierung trotz Formatierung?
    Plagegeister aller Art und deren Bekämpfung - 31.03.2006 (6)
  15. Virus trotz Formatierung
    Plagegeister aller Art und deren Bekämpfung - 07.02.2006 (1)
  16. ME install trotz vorhandenem xp
    Alles rund um Windows - 02.10.2005 (3)
  17. Pop-Ups bei trotz HijackThis
    Log-Analyse und Auswertung - 25.09.2005 (3)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema roore.ws/1.exe trotz KasperskyIS - Hi, CF ist nicht nur ein Scanner, er versucht auch alles was er findet gerade zu biegen (ist unsere Vielzweckwaffe). Nebenbei erstellt er ein aussagekräftiges Log, darin kann man dann - roore.ws/1.exe trotz KasperskyIS...
Archiv
Du betrachtest: roore.ws/1.exe trotz KasperskyIS auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129