Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Virus Bursters + Andere[!?] (https://www.trojaner-board.de/33337-virus-bursters-andere.html)

elektronegativ 05.11.2006 15:40
Virus Bursters + Andere[!?]
 
Moin,
ich wollte mir gerade ein Plugin für Mozilla saugen (WMP) und hab mir dabei
diesen Trojaner eingefangen...oder mehrere.Dieses Ding hat sich in der Toolbar Leiste und im Startmenü und sonst wo eingenistet.Ich bin kein PC Crack aber hab schon geschaut ob ich andere Forumeinträge verwerten kann...hat aber alles ncihts genutzt.
Hier meine HijackThis Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 15:25:17, on 05.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
E:\Programme\ewido anti-spyware 4.0\guard.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\ctfmon.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iVideoCodec\isamonitor.exe
C:\Programme\iVideoCodec\isamini.exe
C:\Programme\iVideoCodec\pmsngr.exe
C:\Programme\iVideoCodec\pmmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\DOKUME~1\chris\LOKALE~1\Temp\Rar$EX00.031\avenger.exe
C:\DOKUME~1\chris\LOKALE~1\Temp\Rar$EX00.281\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {274c0420-ebe0-4f1d-b473-edd1aa9b85dd} - C:\Programme\iVideoCodec\isaddon.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Programme\Adobe\acrobat\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Programme\Adobe\acrobat\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Protection Bar - {1a29a79a-b9c8-44a9-bedf-7fadde3cf33f} - C:\Programme\iVideoCodec\iesplugin.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Blue Software Play First] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ReadmeFileBlueSoftware\Rdrflag.exe
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [areslite] "E:\Programme\ares\Ares Lite Edition\AresLite.exe" -h
O4 - HKCU\..\Run: [About option] C:\DOKUME~1\chris\ANWEND~1\REALBR~1\webwinplay.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Convert link target to Adobe PDF - res://E:\Programme\Adobe\acrobat\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://E:\Programme\Adobe\acrobat\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://E:\Programme\Adobe\acrobat\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://E:\Programme\Adobe\acrobat\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://E:\Programme\Adobe\acrobat\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://E:\Programme\Adobe\acrobat\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://E:\Programme\Adobe\acrobat\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://E:\Programme\Adobe\acrobat\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: bonspells - {11853d5f-f894-4cc7-bbc3-fc7a9dcfd896} - C:\WINDOWS\system32\okkmtv.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - E:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

:balla: Ich bitte um Hilfe, bin schon ganz verzweifelt...Danke

nochdigger 05.11.2006 15:54
mOIn auch

du hast dir, wie es aussieht, zwei unterschiedliche Sachen an den Hals gehängt.

Mache als erstes mal alle Dateien sichtbar :
Start --> Einstellungen --> Systemsteuerung --> Ordneroptionen --> Ansicht -->
häkchen raus bei - Erweiterungen bei bekannten Dateitypen ausblenden -
häkchen raus bei - Geschützte Systemdateien ausblenden -
anhaken - Inhalte von Systemordnern anzeigen -
bei Versteckte Dateien und Ordner - alle Dateien und Ordner anzeigen lassen -
--> Übernehmen

Dann lasse folgende Dateien :

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ReadmeFileBlueSoftware\Rdrflag.exe
und
C:\DOKUME~1\chris\ANWEND~1\REALBR~1\webwinplay.exe
(sehen aus wie Swizzor)
hier
Virustotal
oder hier
Jotti
überprüfen (kann bisschen dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
auch wenn nichts gefunden wurde.

MFG

elektronegativ 05.11.2006 16:12
Complete scanning result of "Rdrflag.exe", received in VirusTotal at 11.05.2006, 16:11:12 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.37 11.03.2006 HEUR/Crypted
Authentium 4.93.8 11.05.2006 no virus found
Avast 4.7.892.0 11.03.2006 Win32:Swizzor-gen
AVG 386 11.04.2006 Lop.H
BitDefender 7.2 11.05.2006 GenPack:Trojan.Swizzor.IA
CAT-QuickHeal 8.00 11.04.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 11.05.2006 no virus found
DrWeb 4.33 11.05.2006 Trojan.Swizzor
eTrust-InoculateIT 23.73.45 11.03.2006 no virus found
eTrust-Vet 30.3.3176 11.03.2006 Win32/Swizzor
Ewido 4.0 11.05.2006 no virus found
Fortinet 2.82.0.0 11.05.2006 suspicious
F-Prot 3.16f 11.04.2006 no virus found
F-Prot4 4.2.1.29 11.04.2006 no virus found
Ikarus 0.2.65.0 11.03.2006 no virus found
Kaspersky 4.0.2.24 11.05.2006 not-a-virus:AdWare.Win32.Lop.bb
McAfee 4888 11.03.2006 Swizzor.gen
Microsoft 1.1609 11.04.2006 C2.Lop
NOD32v2 1.1853 11.03.2006 a variant of Win32/TrojanDownloader.Swizzor
Norman 5.80.02 11.03.2006 Swizzor.JG
Panda 9.0.0.4 11.04.2006 Adware/Lop
Sophos 4.10.0 10.26.2006 Troj/Swizz-Fam
TheHacker 6.0.1.112 11.03.2006 Trojan/Downloader.Swizzor
UNA 1.83 11.03.2006 no virus found
VBA32 3.11.1 11.04.2006 AdWare.Win32.Lop.ag
VirusBuster 4.3.15:9 11.05.2006 no virus found

Aditional Information
File size: 368582 bytes
MD5: c3c8802821821db418c2e871615fc01f
SHA1: dd50dc76d923b0c558b73bb51469d4db0452a0b6
packers: UPC
packers: UPC





------------------------------------------------------------------------------------------------------------------




Complete scanning result of "webwinplay.exe", received in VirusTotal at 11.05.2006, 16:30:55 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.37 11.03.2006 HEUR/Crypted
Authentium 4.93.8 11.05.2006 no virus found
Avast 4.7.892.0 11.03.2006 Win32:Swizzor-gen
AVG 386 11.04.2006 Lop.J
BitDefender 7.2 11.05.2006 GenPack:Trojan.Swizzor.HS
CAT-QuickHeal 8.00 11.04.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 11.05.2006 no virus found
DrWeb 4.33 11.05.2006 Trojan.Swizzor
eTrust-InoculateIT 23.73.45 11.03.2006 no virus found
eTrust-Vet 30.3.3176 11.03.2006 Win32/Swizzor
Ewido 4.0 11.05.2006 no virus found
Fortinet 2.82.0.0 11.05.2006 suspicious
F-Prot 3.16f 11.04.2006 no virus found
F-Prot4 4.2.1.29 11.04.2006 no virus found
Ikarus 0.2.65.0 11.03.2006 no virus found
Kaspersky 4.0.2.24 11.05.2006 not-a-virus:AdWare.Win32.Lop.bc
McAfee 4888 11.03.2006 Swizzor.gen
Microsoft 1.1609 11.04.2006 C2.Lop
NOD32v2 1.1853 11.03.2006 a variant of Win32/TrojanDownloader.Swizzor
Norman 5.80.02 11.03.2006 Swizzor.JH
Panda 9.0.0.4 11.04.2006 Adware/Lop
Sophos 4.10.0 10.26.2006 Troj/Swizz-Fam
TheHacker 6.0.1.112 11.03.2006 Trojan/Downloader.Swizzor
UNA 1.83 11.03.2006 no virus found
VBA32 3.11.1 11.05.2006 Trojan.Win32.Agent.uq
VirusBuster 4.3.15:9 11.05.2006 no virus found

Aditional Information
File size: 201314 bytes
MD5: 77198bd8bb6ea7e847b4e6db308bb5f4
SHA1: 9acfa80b40d4f636cfaf37c23f290ee702e233bc
packers: UPC
packers: UPC

elektronegativ 05.11.2006 17:07
Also ich bin so langsam am verzweifeln... habs jetzt schon mit regsearch und avatar versucht und bin zu keinem ergebniss gekommen.
Falls es hilft hier die Regsearch Ergebnisse zu "ivideocodec" und "virusbursters":

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 05.11.2006 16:54:12 for strings:
; 'ivideocodec'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1a29a79a-b9c8-44a9-bedf-7fadde3cf33f}\InprocServer32]
@="C:\\Programme\\iVideoCodec\\iesplugin.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{274c0420-ebe0-4f1d-b473-edd1aa9b85dd}\InprocServer32]
@="C:\\Programme\\iVideoCodec\\isaddon.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run]
"isamonitor.exe"="C:\\Programme\\iVideoCodec\\isamonitor.exe"
"pmsngr.exe"="C:\\Programme\\iVideoCodec\\pmsngr.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Internet Explorer Security Plugin 2006]
"UninstallString"="\"C:\\Programme\\iVideoCodec\\iesuninst.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iVideoCodec]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\iVideoCodec]
"DisplayName"="iVideoCodec 3.0"
"UninstallString"="C:\\Programme\\iVideoCodec\\uninst.exe"
"DisplayIcon"="C:\\Programme\\iVideoCodec\\uninst.exe"
"URLInfoAbout"="www.ivideocodec.com"
"Publisher"="iVideoCodec Software"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Public Messenger ver 2.03]
"UninstallString"="\"C:\\Programme\\iVideoCodec\\pmuninst.exe\""

[HKEY_USERS\S-1-5-21-682003330-362288127-2147069159-1004\Software\Internet Security]
"Path"="C:\\Programme\\iVideoCodec"

[HKEY_USERS\S-1-5-21-682003330-362288127-2147069159-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Dokumente und Einstellungen\\chris\\Desktop\\ivideocodec.689(2).exe"="ivideocodec.689(2)"
"C:\\Programme\\iVideoCodec\\pmsngr.exe"="pmsngr"
"C:\\Programme\\iVideoCodec\\isamonitor.exe"="isamonitor"

; End Of The Log...

----------------------------------------------------------------------

REGEDIT4

; Registry Search 2.0 by Bobbi Flekman © 2005
; Version: 2.0.1.0

; Results at 05.11.2006 16:55:16 for strings:
; 'virusbursters'
; Strings excluded from search:
; (None)
; Search in:
; Registry Keys Registry Values Registry Data
; HKEY_LOCAL_MACHINE HKEY_USERS


[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{ACF3DAB0-D308-4B7A-BFE3-E6C0FAFEB1E7}\1.0\0\win32]
@="C:\\Programme\\VirusBursters\\virusbursters.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{ACF3DAB0-D308-4B7A-BFE3-E6C0FAFEB1E7}\1.0\HELPDIR]
@="C:\\Programme\\VirusBursters\\"

[HKEY_USERS\S-1-5-21-682003330-362288127-2147069159-1004\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\VirusBursters]

[HKEY_USERS\S-1-5-21-682003330-362288127-2147069159-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache]
"C:\\Programme\\VirusBursters\\virusbursters.exe"="Anti- spyware and adware"
"C:\\Programme\\VirusBursters\\uninst.exe"="VirusBurster Install"

; End Of The Log...

Sunny 05.11.2006 17:14
Hallo,

1.) arbeite folgende Anleitung ab -> Entfernung Swizzor.A

Die für dich geltenden Einträge im Hijacklog sind folgende:

Zitat:
O4 - HKLM\..\Run: [Blue Software Play First] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ReadmeFileBlueSoftware\Rdrfl ag.exe
O4 - HKCU\..\Run: [About option] C:\DOKUME~1\chris\ANWEND~1\REALBR~1\webwinplay.exe
2.) Deinstalliere das Codec-Pack -> C:\Programme\iVideoCodec
(Start->Systemsteuerung->Software)

3.) Lade dir dieses Tool -> SmitfraudFix
Starte das Programm, wähle Option "2" und lass es laufen, poste im Anschluss den Inhalt der Report.txt.

4.) Lade dir dir Killbox, klicke die Option "delete on reboot", suche danach nacheinander foolgende Dateien/Verzeichnisse:

Zitat:
C:\Programme\iVideoCodec
C:\WINDOWS\system32\okkmtv.dll
Erst bei der letzten Datei die Frage des Neustarts mit JA beantworten!
Lösche nach dem Neustart den Ordner C:\Killbox!

5.) Poste ein neues Hijacklog...

Gruß
Sunny


Alle Zeitangaben in WEZ +1. Es ist jetzt 08:34 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129