Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   svchost.exe bringt Meldung mit Antivir - TR/dropper.gen (https://www.trojaner-board.de/63274-svchost-exe-bringt-meldung-antivir-tr-dropper-gen.html)

BonBit 30.10.2008 22:28
svchost.exe bringt Meldung mit Antivir - TR/dropper.gen
 
Hallo *,

ich habe heute nach einem Neustart (PC lief sicher schon 5 Tage) eine Meldung von Antivir bekommen, dass in der Datei c:\windows\system32\drivers\svchost.exe das Virus/Trojanisches Pferd namens "TR/dropper.gen" gefunden wurde.

Ich habe herrausgefunden, dass dies wohl aus dem Internet weitere Malware nachlädt, weshalb ich jetzt über das bisherige Ausmaß des Schaden ziemlich verunsichert bin.

Die Datei svchost.exe habe ich bei virustotal.com hochgeladen und dabei folgende Auswertung erhalten:

Code:
Antivirus          Version          letzte aktualisierung          Ergebnis
AhnLab-V3        2008.10.30.1        2008.10.30        Win-Trojan/Agent.31744.HG
AntiVir        7.9.0.10        2008.10.30        TR/Dropper.Gen
Authentium        5.1.0.4        2008.10.30        W32/Malware!OC-based
Avast        4.8.1248.0        2008.10.30        Win32:Trojan-gen {Other}
AVG        8.0.0.161        2008.10.30        Downloader.Generic7.AUQN
BitDefender        7.2        2008.10.30        Trojan.Generic.835992
CAT-QuickHeal        9.50        2008.10.29        Trojan.Agent.aggn
ClamAV        0.93.1        2008.10.30        -
DrWeb        4.44.0.09170        2008.10.30        -
eSafe        7.0.17.0        2008.10.29        -
eTrust-Vet        31.6.6180        2008.10.29        -
Ewido        4.0        2008.10.29        -
F-Prot        4.4.4.56        2008.10.29        W32/Malware!OC-based
F-Secure        8.0.14332.0        2008.10.30        Trojan.Win32.Agent.aggn
Fortinet        3.117.0.0        2008.10.28        W32/Dloader.X!tr
GData        19        2008.10.30        Trojan.Generic.835992
Ikarus        T3.1.1.44.0        2008.10.30        Trojan-Downloader.Win32.Small
K7AntiVirus        7.10.512        2008.10.30        Trojan.Win32.Malware.1
Kaspersky        7.0.0.125        2008.10.30        Trojan.Win32.Agent.aggn
McAfee        5418        2008.10.30        Generic Downloader.x
Microsoft        1.4005        2008.10.30        TrojanDownloader:Win32/Small.IQ
NOD32        3570        2008.10.30        a variant of Win32/TrojanDownloader.FakeAlert.KB
Norman        5.80.02        2008.10.29        -
Panda        9.0.0.4        2008.10.29        Adware/CWS
PCTools        4.4.2.0        2008.10.30        -
Prevx1        V2        2008.10.30        Cloaked Malware
Rising        21.01.32.00        2008.10.30        -
SecureWeb-Gateway        6.7.6        2008.10.30        Trojan.Dropper.Gen
Sophos        4.35.0        2008.10.30        Mal/EncPk-CZ
Sunbelt        3.1.1764.1        2008.10.29        -
Symantec        10        2008.10.30        Trojan.KillAV
TheHacker        6.3.1.1.134        2008.10.30        -
TrendMicro        8.700.0.1004        2008.10.30        -
VBA32        3.12.8.9        2008.10.30        Trojan.Win32.Agent.aggn
ViRobot        2008.10.30.1445        2008.10.30        -
VirusBuster        4.5.11.0        2008.10.29        -
weitere Informationen
File size: 31744 bytes
MD5...: 78cdd58edfa0f82729e5dd6355519701
SHA1..: 9c148a0a004eb88c5738934a02a0750889fc164a
SHA256: 9ab8764b86792ee7132c236d12a6939a4259e5a9eaf1d352941ffd195693493d
SHA512: fa22147c9dbb6c64ca366e904b3fa53da30332b4e7c3fa8d8ac9398d782730d1
3166f6cc16733ef7f1e25f57d8418e7a9bd85f92f237f9a0be66e8321f5921e2
PEiD..: -
TrID..: File type identification
Win32 Dynamic Link Library (generic) (65.2%)
Generic Win/DOS Executable (17.2%)
DOS Executable Generic (17.2%)
VXD Driver (0.2%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x4010d8
timedatestamp.....: 0x478cf93a (Tue Jan 15 18:19:38 2008)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x114b 0x1200 2.65 ba4366b9659cc12d6526689f6cb89a67
.rdata 0x3000 0xe13 0x1000 4.97 9078bf2ff13735f8d785a32f64d074e0
.data 0x4000 0x1736e 0x5600 7.36 5dfc56e2776e03cfb5ef2f649f7c775c

( 7 imports )
> ADVAPI32.DLL: RegFlushKey, RegEnumValueW, RegDeleteValueA, RegEnumKeyW, RegEnumValueA, RegQueryInfoKeyA, RegDeleteValueW, RegCreateKeyW, RegReplaceKeyA, RegQueryValueExA, RegGetKeySecurity, RegDeleteKeyW, RegOpenKeyA, RegReplaceKeyW, RegCreateKeyExA, RegOpenKeyExA, RegEnumKeyExA, RegQueryValueExW
> GDI32.DLL: GetDCOrgEx, GetPixel, CreateSolidBrush, ExcludeClipRect, BitBlt, CloseFigure, GetBrushOrgEx, CopyMetaFileA, GetPixel, AddFontResourceTracking, ExtTextOutA, AddFontMemResourceEx, DeleteObject, RestoreDC, ClearBrushAttributes, AddFontResourceW
> GDI32.DLL: CloseMetaFile, CopyMetaFileA, CreateSolidBrush, DeleteDC, RestoreDC, AddFontResourceTracking, AddFontResourceW, AddFontResourceExA, GetDCOrgEx, ExcludeClipRect, CloseFigure, GetClipBox, BitBlt, DeleteObject, AddFontResourceExW, BeginPath, ClearBrushAttributes, CancelDC, AddFontResourceA, GetCurrentPositionEx
> ADVAPI32.DLL: RegDeleteValueW, RegOpenKeyA, RegLoadKeyW, RegOpenKeyW, RegLoadKeyA, RegOpenKeyExA, RegGetKeySecurity, RegReplaceKeyW, RegQueryValueA, RegFlushKey, RegCreateKeyW, RegEnumValueA, RegEnumKeyW, RegDeleteValueA, RegQueryValueExW, RegEnumKeyExW, RegEnumKeyExA
> COMCTL32.DLL: ImageList_Draw, ImageList_DrawIndirect, ImageList_GetDragImage, ImageList_DragShowNolock, ImageList_AddMasked, ImageList_GetImageRect, ImageList_Destroy, ImageList_ReplaceIcon, ImageList_EndDrag, ImageList_Create, ImageList_AddIcon, ImageList_BeginDrag, InitCommonControls, ImageList_Replace, ImageList_GetIconSize
> COMCTL32.DLL: ImageList_BeginDrag, ImageList_GetImageCount, ImageList_AddMasked, ImageList_LoadImage, ImageList_Remove, ImageList_DragEnter, ImageList_GetImageInfo, ImageList_DragLeave, ImageList_GetIconSize, ImageList_DrawEx, ImageList_ReplaceIcon, ImageList_GetDragImage, ImageList_Merge, ImageList_DrawIndirect, ImageList_GetIcon, ImageList_Read
> GDI32.DLL: AddFontResourceTracking, GetBitmapBits, CloseMetaFile, AddFontResourceA, GetCurrentPositionEx, AddFontResourceExW, AddFontResourceW, RestoreDC, CancelDC, CopyMetaFileA, GetPixel, SetTextColor, DeleteObject, BitBlt, GetDCOrgEx, GetBrushOrgEx, DeleteDC, CloseFigure, ClearBitmapAttributes, AddFontMemResourceEx, AbortPath
Danach habe ich mir die aktuelleste Version von hijackthis herruntergeladen und nach dem ausführen folgendes Logfile bekommen:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:09:46, on 30.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
D:\Programme\sicherheit\Sygate\SPF\smc.exe
C:\Windows\System32\wltrysvc.exe
C:\Windows\System32\bcmwltry.exe
C:\Windows\system32\spoolsv.exe
D:\Programme\sicherheit\antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\PROGRA~1\GEMEIN~1\Stardock\SDMCP.exe
D:\Programme\sicherheit\antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Google\Update\GoogleUpdate.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
d:\Programme\internetundso\NetLimiter 2 Pro\nlsvc.exe
d:\Programme\wiedergabe\Sceneo\Bonavista\Services\ODSBC\ODSBCService.exe
d:\Programme\system\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
C:\Windows\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
D:\Programme\system\VMware\VMware Player\vmware-authd.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\Windows\system32\vmnat.exe
C:\Programme\NetDrive\wdService.exe
d:\Programme\wiedergabe\Sceneo\Bonavista\Services\PVR\PVRService.exe
C:\Windows\system32\vmnetdhcp.exe
C:\Windows\system32\Ati2evxx.exe
C:\Windows\Explorer.EXE
D:\Programme\programmieren\TortoiseSVN\bin\TSVNCache.exe
C:\Windows\system32\ctfmon.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Windows\system32\ltmsg.exe
C:\Windows\system32\wltray.exe
D:\Programme\programmieren\Java\jre1.5.0_06\bin\jusched.exe
C:\Windows\vsnpstd2.exe
C:\Windows\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Windows\System32\svchost.exe
D:\Programme\sicherheit\antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe
D:\Programme\wiedergabe\iTunes\iTunesHelper.exe
D:\Programme\office\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Windows\system32\rundll32.exe
C:\Programme\NetDrive\netdrive.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\ICQ6\ICQ.exe
C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Windows\system32\mdm.exe
D:\Programme\programmieren\PSPad editor\PSPad.exe
C:\Programme\Mozilla Firefox 3 Beta 4\firefox.exe
C:\Programme\Skype\Plugin Manager\SkypePM.exe
D:\Programme\system\HDD Thermometer\HDD Thermometer.exe
D:\Programme\system\Launchy\Launchy.exe
D:\Programme\system\Logitech\SetPoint\KEM.exe
D:\Programme\system\trayit\trayit!.exe
d:\Programme\system\Logitech\SetPoint\KHALMNPR.EXE
d:\programme\sicherheit\antivir\avira\antivir personaledition classic\avcenter.exe
d:\programme\sicherheit\antivir\avira\antivir personaledition classic\avscan.exe
C:\Programme\Malwarebytes' Anti-Malware\mbam.exe
H:\birken\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://search.live.com/?mkt=en-us
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = hxxp://g.msn.com/0SEENUS/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\office\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: VIPTToolbarManager Class - {1A2641AE-2C42-4C51-A05F-8ECEC3FDC94D} - C:\Programme\Visual IP Trace 2007\VisualIPTraceIE.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\programmieren\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: IeCatch2 Class - {A5366673-E8CA-11D3-9CD9-0090271D075B} - D:\PROGRA~1\INTERN~1\FlashGet\jccatch.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Companion.JS BHO - {ADDEE521-F1CC-4B89-8C88-B2CF625B9163} - C:\Programme\Core Services\Companion.JS\CompanionJS.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\office\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\office\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: GVDownloader - {ae4df123-9140-4f93-9b32-ff0186389cc3} - mscoree.dll (file missing)
O3 - Toolbar: Visual IP Trace - {E70C26AE-DFF1-40A8-8D37-19180F56F0AA} - C:\Programme\Visual IP Trace 2007\VisualIPTraceIE.dll
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LTWinModem1] ltmsg.exe 9
O4 - HKLM\..\Run: [wltray.exe] C:\Windows\system32\wltray.exe
O4 - HKLM\..\Run: [SmcService] D:\PROGRA~1\SICHER~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\programmieren\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SNPSTD2] C:\Windows\vsnpstd2.exe
O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\Windows\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [AtiPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WheelMouse] C:\TRUSTP~1\wh_exec.exe
O4 - HKLM\..\Run: [avgnt] "D:\Programme\sicherheit\antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\wiedergabe\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "D:\Programme\office\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\Wiedergabe\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WebDriveTray] C:\Programme\NetDrive\netdrive.exe /trayicon
O4 - HKLM\..\Run: [%RunKey%] "C:\Programme\FRITZ!vox\FRITZ!vox.exe" -1
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\Windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [WISE-FTP Task Planner] "d:\Programme\interentundso\AceBIT\WISE-FTP 5\wf_tp.exe" /bg
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [Google Update] "C:\Dokumente und Einstellungen\xxx\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe" /c
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\Windows\system32\drivers\svchost.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\Windows\System32\ctfmon.exe (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\Windows\System32\ctfmon.exe (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\Windows\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [3DxAssociateFileExts] D:\Programme\system\3Dconnexion\3Dconnexion 3DxSoftware\3DxViewer\register.exe "FileExts" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\Windows\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [3DxAssociateFileExts] D:\Programme\system\3Dconnexion\3Dconnexion 3DxSoftware\3DxViewer\register.exe "FileExts" (User 'Default user')
O4 - Startup: Deliwin.lnk = e:\Eigene Dateien\deliwin\deliwin\Deliwin.exe
O4 - Startup: TrayIt!.lnk = D:\Programme\system\trayit\trayit!.exe
O4 - Startup: YzShadow.exe.lnk = D:\Programme\system\YzShadow\YzShadow.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Hamachi.lnk = D:\Programme\InternetUndSo\Hamachi\hamachi.exe
O4 - Global Startup: HDD Thermometer (2).lnk = D:\Programme\system\HDD Thermometer\HDD Thermometer.exe
O4 - Global Startup: Launchy.lnk = D:\Programme\system\Launchy\Launchy.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Programme\system\Logitech\SetPoint\KEM.exe
O4 - Global Startup: MultiMon Taskbar.lnk = D:\Programme\system\MMTaskbar\MultiMon.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Alles mit FlashGet laden - D:\Programme\InternetUndSo\FlashGet\jc_all.htm
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://D:\Programme\office\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://D:\Programme\office\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://D:\Programme\office\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://D:\Programme\office\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html


O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MI1933~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\office\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://D:\Programme\office\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Mit FlashGet laden - D:\Programme\InternetUndSo\FlashGet\jc_link.htm
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://D:\Programme\office\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://D:\Programme\office\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Companion.JS - {0402343A-B530-482b-AA27-A61CEC3E4D2E} - C:\Programme\Core Services\Companion.JS\CompanionJS.dll
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Windows\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Windows\System32\msjava.dll
O9 - Extra button: IE Developer Toolbar - {48FFE35F-36D9-44bd-A6CC-1D34414EAC0D} - C:\Programme\Microsoft\Internet Explorer Developer Toolbar\IEDevToolbar.dll
O9 - Extra button: IEWatch Professional - {78E5BB46-9A20-402F-BA66-B5634D177D77} - C:\Programme\IEWatch\IEWatch.dll
O9 - Extra 'Tools' menuitem: IEWatch - {78E5BB46-9A20-402F-BA66-B5634D177D77} - C:\Programme\IEWatch\IEWatch.dll
O9 - Extra button: BitBuddy - {8FCCDD73-C9F3-443a-AB53-7A25FD925808} - D:\Programme\InternetUndSo\Maketorrent 2\BitBuddy0985\BitBuddy.EXE (file missing)
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - C:\Programme\PPLive\PPLive.exe
O9 - Extra 'Tools' menuitem: PPLive - {95B3F550-91C4-4627-BCC4-521288C52977} - C:\Programme\PPLive\PPLive.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\INTERN~1\FlashGet\JetCar.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\PROGRA~1\INTERN~1\FlashGet\JetCar.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {00000014-9593-4264-8B29-930B3E4EDCCD} (HPVirtualRooms14 Class) - hxxps://www.rooms.hp.com/vRoom_Cab/WebHPVCInstall14.cab
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - hxxps://media.pineconeresearch.com/ActiveX/downloadcontrol.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\sicherheit\antivir\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\sicherheit\antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Bonjour Service - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Update Service (gupdate1c8c196904528e0) (gupdate1c8c196904528e0) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NetLimiter (nlsvc) - Locktime Software - d:\Programme\internetundso\NetLimiter 2 Pro\nlsvc.exe
O23 - Service: Sceneo TV Broadcast Service (ODSBC) - ODSoft multimedia - d:\Programme\wiedergabe\Sceneo\Bonavista\Services\ODSBC\ODSBCService.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - D:\Programme\sicherheit\Sygate\SPF\smc.exe
O23 - Service: Sceneo PVR Service (srvcPVR) - Buhl Data Service GmbH - d:\Programme\wiedergabe\Sceneo\Bonavista\Services\PVR\PVRService.exe
O23 - Service: Check Point SecuRemote Service (SR_Service) - Check Point Software Technologies - d:\Programme\system\CheckPoint\SecuRemote\bin\SR_Service.exe
O23 - Service: Check Point SecuRemote WatchDog (SR_WatchDog) - Check Point Software Technologies - d:\Programme\system\CheckPoint\SecuRemote\bin\SR_WatchDog.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - D:\Programme\system\VMware\VMware Player\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\Windows\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\Windows\system32\vmnat.exe
O23 - Service: WebDrive Service (WebDriveService) - Unknown owner - C:\Programme\NetDrive\wdService.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\Windows\System32\wltrysvc.exe
O23 - Service: WPEServ - soft Xpansion - C:\Programme\Gemeinsame Dateien\WPE\wpeserv.exe

--
End of file - 18214 bytes
Außerdem habe ich noch auf Laufwerk c: Malwarebytes' Anti-Malware durchlaufen lassen. Dabei kam folgendes herraus:

Code:
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1340
Windows 5.1.2600 Service Pack 2

30.10.2008 22:12:47
mbam-log-2008-10-30 (22-12-30).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 130331
Laufzeit: 44 minute(s), 18 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.Trymedia) -> No action taken.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.FakeAlert.H) -> No action taken.

Infizierte Dateiobjekte der Registrierung:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\drivers\svchost.exe (Trojan.FakeAlert.H) -> No action taken.

Ich hoffe, irgendwer kann mir Tips geben, wie ich weiter verfahren muß.
Evtl. kann ich da noch was retten... ?

Grüße aus Berlin

marin

cosinus 31.10.2008 19:41
Hallo und :hallo:

Bei Dir fehlt mind. das SP3, Du solltest es nach der Bereinigung nachinstallieren!

Von der Sygate-PFW kann ich nur dringend abraten, die wird seit einigen Jahren nicht mehr supportet. Etwaige darin enthaltene kritische Fehler werden somit auch nicht mehr gefixt, d.h. dieses Programm schützt Dich nicht wirklich, im Gegenteil, es ist ein potentieller Angriffspunkt!!
Als Ersatz reicht die Windows-Firewall dicke aus.

Acker diese Punkte für weitere Analysen ab:

1.) Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
C:\Windows\system32\wltray.exe
e:\Eigene Dateien\deliwin\deliwin\Deliwin.exe
2.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

3.) Führe dieses MBR-Tool aus und poste die Ausgabe

4.) Blacklight und Malwarebytes Antimalware ausführen und Logfiles posten - die Funde von MBAM entfernen lassen!!

5.) Führe Silentrunners nach dieser Anleitung aus und poste das Logfile (mit Codetags umschlossen), falls es zu groß sein sollte kannst Du es (gezippt) bei file-upload.net hochladen und hier verlinken.

6.) ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
    Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so:

HTML-Code:
[code] Hier das Logfile rein! [/code]
7.) Mach auch ein Filelisting mit diesem script:
  • Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
  • Doppelklick auf listing8.cmd auf dem Desktop
  • nach kurzer Zeit erscheint eine listing.txt auf dem Desktop

Diese listing.txt z.B. bei File-Upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.

8.) Poste ein neues Hijackthis Logfile, nimm dazu diese umbenannte hijackthis.exe - editiere die Links und privaten Infos!!


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:38 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129