Trojaner-Board - Firefox leitet auf fremde Seiten um

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Firefox leitet auf fremde Seiten um (https://www.trojaner-board.de/72954-firefox-leitet-fremde-seiten-um.html)

Entwarnung. Er hat tatsächlich nur Mails gefunden, die meisten davon im Papierkorb, aber auch etliche in deinem Posteingang. Dann hat er aber noch die in der Quarantäne von Combofix gefunden, das ich dich eigentlich schon längst deinstallieren ließ.

Also nochmal:
Start => Ausführen => combofix /u => OK

Dann löscht du alle Mails und vor allem deinen Papierkorb von Thunderbird.

1.) CureIT Dr.Web

Downloade Dr.Web CureIt!
Speichere es auf deinem Desktop.
Entpacke es in einen eigenen Ordner.
Lies nun zuerst die deutsche Anleitung und drucke sie dir aus.

Lass alle Malware in den Quarantaene Ordner verschieben.
Ignoriere eventuelle Warnungen seitens deines AV Programms, du kannst auch offline gehen und -> dann dein AV Programm während des Scannens mit Dr.Web CureIt! abstellen.
Vergiss bitte nicht, dein AV Programm nach dem Scan wieder anzustellen.

Speichere das Logfile - siehe Anleitung - und poste es.

2.) Panda Active Scan

Folgende Seite führt dich durch die Installation: PandaActiveScan2.0 Installation

Drücke auf Jetzt Scannen!

Eine Registrierung ist nicht erforderlich!

Nachdem der Scan abgeschlossen ist drücke auf das Text-Icon Export und speichere das log auf dem Desktop.
Öffne die Datei ActiveScan.txt die sich nun auf deinem Desktop befindet und poste uns den Inhalt.

3.) Überprüfe den Rechner mit PrevXCSI.

Logs nur posten, falls etwas gefunden wird. Zum Abschluss ein HJT-Log posten.

ciao, andreas

Zitat:

Zitat von john.doe (Beitrag 436364)

Dann hat er aber noch die in der Quarantäne von Combofix gefunden, das ich dich eigentlich schon längst deinstallieren ließ.

Also nochmal:
Start => Ausführen => combofix /u => OK

Hab ich auch deinstalliert. Ich hab jetzt trotzdem nochmal "combofix /u" ausgeführt. Die MessageBox sagt dann, dass combofix nicht gefunden wurde.
hmm.. soll ich dann was von Hand löschen?

Gruß
Raketenmann

Ja.

Lösche die Ordner (falls vorhanden):
C:\Qoobox
C:\Combofix
C:\windows\erdnt

und die Datei:
C:\combofix.txt

ciao, andreas

Hier schonmal das log von CureIT Dr Web

Code:

ck.exe;C:\EasyDivX\softs;Tool.Prockill;Verschoben.;

NorExec.exe;C:\Programme\ASUS\WLAN Card Utilities;Win32.HLLW.Walker.3;Gelöscht.;

A0001696.bat;C:\System Volume Information\_restore{EB121D48-2810-43B9-831B-8DE1A8BDF5D5}\RP3;Wahrscheinlich BATCH.Virus;Verschoben.;

A0001822.exe;C:\System Volume Information\_restore{EB121D48-2810-43B9-831B-8DE1A8BDF5D5}\RP4;Win32.HLLW.Walker.3;Gelöscht.;

popcaploader.dll;C:\WINDOWS\Downloaded Program Files;Program.PopcapLoader;Verschoben.;

ActiveScan:
http://rapidshare.com/files/234000464/ActiveScan.txt.html

MD5: 6F48215F287185958105FCB5D161EDB6

Prevx 3.0 hat einen "High Risk Worm" gefunden. Hab nichts zum Log speichern gefunden.
Status: Threat (License required to clean)
Name: mcfmfli.sys in c:\windows\system32\drivers\
Threat Identified: High Risk Worm

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:07:54, on 17.05.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16827)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

F:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe

C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe

C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

C:\Programme\Gemeinsame Dateien\Microsoft Shared\DirectX Extensions\DXDebugService.exe

C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\TortoiseSVN\bin\TSVNCache.exe

C:\WINDOWS\system32\winsys2.exe

C:\WINDOWS\system32\rundll32.exe

F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

G:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Programme\Microsoft ActiveSync\wcescomm.exe

C:\Programme\Octoshape Streaming Services\*MeinName*\OctoshapeClient.exe

F:\spiele\ncsoft\launcher\NCLauncher.exe

C:\Programme\Skype\Phone\Skype.exe

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\MI3AA1~1\rapimgr.exe

C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programme\Logitech\SetPoint\SetPoint.exe

C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE

C:\Programme\Skype\Plugin Manager\skypePM.exe

F:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Prevx\prevx.exe

C:\Programme\Prevx\prevx.exe

C:\Programme\HijackThis\HiJackThis.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - G:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - G:\Programme\Adobe\/Adobe Contribute CS3/contributeieplugin.dll

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [SW20] C:\WINDOWS\system32\sw20.exe

O4 - HKLM\..\Run: [SW24] C:\WINDOWS\system32\sw24.exe

O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe

O4 - HKLM\..\Run: [amd_dc_opt] C:\Programme\AMD\Dual-Core Optimizer\amd_dc_opt.exe

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [avgnt] "F:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "G:\Programme\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: [Adobe_ID0EYTHM] C:\PROGRA~1\GEMEIN~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE

O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"

O4 - HKCU\..\Run: [Octoshape Streaming Services] "C:\Programme\Octoshape Streaming Services\*MeinName*\OctoshapeClient.exe" -inv:bootrun

O4 - HKCU\..\Run: [PlayNC Launcher] F:\spiele\ncsoft\launcher\NCLauncher.exe /Minimized

O4 - HKCU\..\Run: [EA Core] "C:\Programme\Electronic Arts\EADM\Core.exe" -silent

O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{89E18BB3-1B35-4F74-A3A0-41BC2D168F0C}: NameServer = 192.168.2.1

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe

O23 - Service: Adobe Version Cue CS3 - Adobe Systems Incorporated - C:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - F:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - F:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: CSIScanner - Prevx - C:\Programme\Prevx\prevx.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe

O23 - Service: Forceware Web Interface (ForcewareWebInterface) - Apache Software Foundation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: ForceWare IP service (nSvcIp) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

O23 - Service: ForceWare user log service (nSvcLog) - NVIDIA Corporation - C:\Programme\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: TVersityMediaServer - Unknown owner - F:\Programme\Media Server\MediaServer.exe
 

--

End of file - 7373 bytes

1.) Lade die Datei

Code:

c:\windows\system32\drivers\mcfmfli.sys

bitte bei uns hoch. http://www.trojaner-board.de/54791-a...ner-board.html

2.) Starte Malwarebytes, führe das Update durch, starte eine Quickscan und poste das Log.

ciao, andreas

Code:

Malwarebytes' Anti-Malware 1.36

Datenbank Version: 2145

Windows 5.1.2600 Service Pack 3
 

17.05.2009 17:01:53

mbam-log-2009-05-17 (17-01-53).txt
 

Scan-Methode: Quick-Scan

Durchsuchte Objekte: 100816

Laufzeit: 13 minute(s), 56 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 0

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

(Keine bösartigen Objekte gefunden)
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

Das Fenster von Prevx ist nochmal aufgegangen, dort steht immer noch das gleiche drin wie vorher. Soll der auch weiterhin an und installiert bleiben?

Gruß
Raketenmann

Zitat:

Soll der auch weiterhin an und installiert bleiben?

Nein, der kann genauso deinstalliert werden, wie

Panda Online Scan
Kaspersky Online Scan
DrWeb CureIt

Kontrolliere, ob es einen Ordner

Code:

C:\Programme\EbatesMoeMoneyMaker

gibt. Falls ja, dann samt Inhalt löschen.

Und du hast noch immer nicht deine verseuchten Emails gelöscht, bitte nachholen.

1.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.
Nach Neustart kann sie wieder aktiviert werden.

2.) Lade dir den Regseeker

http://www.hoverdesk.net/images/reg-find.jpg

Klick auf Clean the registry
Klick auf OK
Warte bis er fertig gesucht hat
Klick auf Select => markiere nur die Grünen
Klick auf Action => Delete

Wiederhole die Suche und das Entfernen mit dem Regseeker entweder zehnmal oder solange bis entweder keine oder immer die gleichen grünen gefunden werden.

3.) Lade dir den Microsoft RegClean - Download - CHIP Online, starte ihn und klicke auf Fix Errors und zwar solange, bis Fix Errors grau bleibt.

4.) Wegen der hochgeladenen Datei müssen wir noch etwas warten. Prevx hat sie erkannt, VT sagt 8/40, aber Prevx war nicht dabei. Das könnte mal wieder ein Fehlalarm sein.

5.) Gibt es noch irgendwelche Auffälligkeiten oder verhält sich der Rechner wieder normal?

ciao, andreas

p.s.: Gerade Antwort von Kaspersky erhalten, die Datei ist sauber. Einfach abwarten, was die anderen schreiben.

Zitat:

Zitat von john.doe (Beitrag 436540)

Und du hast noch immer nicht deine verseuchten Emails gelöscht, bitte nachholen.

Wenn ich Thunderbird öffne ist da absolut nichts mehr drin. Alle Ordner sind leer. Ich kann den aber sonst auch deinstallieren und Notfalls den Thunderbird Ordner aus den Anwendungsdaten von Hand löschen, wenn das nötig ist.

Wenn ich Ordner lösche, reicht es, die mit Entf + Papierkorb leeren zu löschen?
DrWeb cureit hat keinen Uninstaller? Kann ich einfach die exe auf dem Desktop löschen?

Zitat:

Notfalls den Thunderbird Ordner aus den Anwendungsdaten von Hand löschen, wenn das nötig ist.

Hmm. :confused: Wenn alle Stricke reissen, dann machen wir das so.

Lass im Anschluss nochmal Avira so laufen: http://www.trojaner-board.de/54192-a...tellungen.html

Zitat:

Wenn ich Ordner lösche, reicht es, die mit Entf + Papierkorb leeren zu löschen?

Schneller geht es, wenn du mit [Umschalt][Entf] löscht, dann landet es erst gar nicht im Papierkorb. ;)

ciao, andreas

Hier nochmal das Ergebnis von VT (zur Beweissicherung und Untermauerung von: Traue niemals der Aussage eines AVPs):

Code:

Datei mcfmfli.sys empfangen 2009.05.17 15:58:15 (CET)

Status: Beendet 

Ergebnis: 8/40 (20.00%)

 Filter 

Drucken der Ergebnisse  Antivirus        Version        letzte aktualisierung        Ergebnis

a-squared        4.0.0.101        2009.05.17        -

AhnLab-V3        5.0.0.2        2009.05.16        Win-Trojan/Avenger.61440

AntiVir        7.9.0.168        2009.05.17        -

Antiy-AVL        2.0.3.1        2009.05.15        -

Authentium        5.1.2.4        2009.05.16        -

Avast        4.8.1335.0        2009.05.16        -

AVG        8.5.0.336        2009.05.16        -

BitDefender        7.2        2009.05.17        -

CAT-QuickHeal        10.00        2009.05.15        -

ClamAV        0.94.1        2009.05.16        -

Comodo        1157        2009.05.08        -

DrWeb        5.0.0.12182        2009.05.17        -

eSafe        7.0.17.0        2009.05.17        Win32.Banker

eTrust-Vet        31.6.6508        2009.05.16        -

F-Prot        4.4.4.56        2009.05.16        -

F-Secure        8.0.14470.0        2009.05.16        -

Fortinet        3.117.0.0        2009.05.17        PossibleThreat

GData        19        2009.05.17        -

Ikarus        T3.1.1.49.0        2009.05.17        -

K7AntiVirus        7.10.737        2009.05.16        Trojan.Win32.Malware.1

Kaspersky        7.0.0.125        2009.05.17        -

McAfee        5617        2009.05.16        -

McAfee+Artemis        5617        2009.05.16        -

McAfee-GW-Edition        6.7.6        2009.05.17        -

Microsoft        1.4602        2009.05.17        -

NOD32        4080        2009.05.15        -

Norman        6.01.05        2009.05.16        W32/Agent.HHSF

nProtect        2009.1.8.0        2009.05.17        -

Panda        10.0.0.14        2009.05.17        Rootkit/Agent.LNB

PCTools        4.4.2.0        2009.05.17        Trojan-PWS.Bancos.PWN

Prevx        3.0        2009.05.17        -

Rising        21.29.62.00        2009.05.17        -

Sophos        4.41.0        2009.05.17        -

Sunbelt        3.2.1858.2        2009.05.16        -

Symantec        1.4.4.12        2009.05.17        -

TheHacker        6.3.4.1.326        2009.05.17        -

TrendMicro        8.950.0.1092        2009.05.15        -

VBA32        3.12.10.5        2009.05.17        -

ViRobot        2009.5.15.1737        2009.05.15        Hoax..Agent.61440

VirusBuster        4.6.5.0        2009.05.16        -

weitere Informationen

File size: 61440 bytes

MD5...: 589312a3b46721c5a751e4d5222a89be

SHA1..: 3a497d3968a4f6e3c648d196da38e5f98e75ec30

SHA256: 03cbe6df7f5605a3659ffe27a1184a8d9066436a17d7bac9cceb122de74f69ae

SHA512: c8abe050c97efe34541c3ef293a750e34b82117ae41f41d83db1f1489eb5d776

a1d59d0b4a1e13536e5bebda630693daf4be66cc386f587a69288c76df98cf7b

ssdeep: 768:UzNrXvTHr4DU6K5H5VLvDcLugwoMcq5+x7J1uQ9VP:QTG2VrOuN+lJpP

PEiD..: -

TrID..: File type identification

Clipper DOS Executable (33.3%)

Generic Win/DOS Executable (33.0%)

DOS Executable Generic (33.0%)

VXD Driver (0.5%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)

PEInfo: PE Structure information
 

( base data )

entrypointaddress.: 0xd394

timedatestamp.....: 0x476b398b (Fri Dec 21 03:56:59 2007)

machinetype.......: 0x14c (I386)
 

( 5 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x400 0xd756 0xd780 5.52 e0dc8fff10e3a7c6343455cd02a67954

.rdata 0xdb80 0x10e 0x180 3.44 d2fd0bc28e070ccc67879e04b7cd5302

.data 0xdd00 0xc0 0x100 0.04 66a415a49d751cb335895306ecfb3389

INIT 0xde00 0x376 0x380 5.17 79cc3d62ef3ba8053786e08dc9b6cddc

.reloc 0xe180 0xe2c 0xe80 6.60 4f845320301140370066cbceee4c5e4c
 

( 1 imports ) 

> ntoskrnl.exe: ZwWriteFile, wcslen, RtlUpcaseUnicodeChar, ZwClose, ZwCreateFile, RtlInitUnicodeString, wcscat, wcscpy, _wcsicmp, ZwQueryValueKey, ZwOpenKey, ZwDeleteKey, swprintf, ZwEnumerateKey, ExFreePoolWithTag, DbgPrint, ExAllocatePoolWithTag, RtlPrefixUnicodeString, RtlDeleteRegistryValue, ZwSetValueKey, RtlWriteRegistryValue, ZwEnumerateValueKey, ZwOpenFile, ZwSetInformationFile, KeTickCount, ZwQueryInformationFile, KeBugCheck, MmGetSystemRoutineAddress, ZwFlushKey, PsTerminateSystemThread, KeSetPriorityThread, KeGetCurrentThread, RtlCheckRegistryKey, KeDelayExecutionThread, ZwReadFile, PsCreateSystemThread, PsGetVersion
 

( 0 exports ) 

PDFiD.: -

RDS...: NSRL Reference Data Set

-

CWSandbox info: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=589312a3b46721c5a751e4d5222a89be

ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=589312a3b46721c5a751e4d5222a89be

Man achte nur auf die Bezeichnungen: Win-Trojan/Avenger.61440, Win32.Banker, Trojan.Win32.Malware.1, W32/Agent.HHSF, Rootkit/Agent.LNB, Trojan-PWS.Bancos.PWN (PWS=Passwordstealer, Banker :lach:), Hoax..Agent.61440 (das passt schon eher :))

Weitere Nachricht von Fortinet: Datei ist sauber.

ciao, andreas

p.s.: Jetzt sind es schon 9/40. :D http://www.virustotal.com/de/analisi...346fa238801352

Code:



Avira AntiVir Personal

Erstellungsdatum der Reportdatei: Sonntag, 17. Mai 2009  18:44
 

Es wird nach 1396800 Virenstämmen gesucht.
 

Lizenznehmer:     Avira AntiVir PersonalEdition Classic

Seriennummer:     0000149996-ADJIE-0001

Plattform:        Windows XP

Windowsversion:   (Service Pack 3)  [5.1.2600]

Boot Modus:       Normal gebootet

Benutzername:     SYSTEM

Computername:     RAKETENMANN
 

Versionsinformationen:

BUILD.DAT     : 8.2.0.347      16934 Bytes  16.03.2009 14:45:00

AVSCAN.EXE    : 8.1.4.10      315649 Bytes  25.11.2008 23:22:55

AVSCAN.DLL    : 8.1.4.0        48897 Bytes  17.07.2008 17:11:44

LUKE.DLL      : 8.1.4.5       164097 Bytes  17.07.2008 17:11:44

LUKERES.DLL   : 8.1.4.0        12545 Bytes  17.07.2008 17:11:44

ANTIVIR0.VDF  : 7.1.0.0     15603712 Bytes  27.10.2008 15:31:38

ANTIVIR1.VDF  : 7.1.2.12     3336192 Bytes  11.02.2009 07:43:16

ANTIVIR2.VDF  : 7.1.3.185    2010112 Bytes  12.05.2009 20:15:44

ANTIVIR3.VDF  : 7.1.3.216     129536 Bytes  16.05.2009 11:46:36

Engineversion : 8.2.0.168 

AEVDF.DLL     : 8.1.1.1       106868 Bytes  02.05.2009 06:52:31

AESCRIPT.DLL  : 8.1.2.0       389497 Bytes  16.05.2009 11:46:48

AESCN.DLL     : 8.1.2.3       127347 Bytes  16.05.2009 11:46:45

AERDL.DLL     : 8.1.1.3       438645 Bytes  04.11.2008 21:50:46

AEPACK.DLL    : 8.1.3.16      397686 Bytes  08.05.2009 11:22:06

AEOFFICE.DLL  : 8.1.0.36      196987 Bytes  28.02.2009 14:01:09

AEHEUR.DLL    : 8.1.0.129    1761655 Bytes  16.05.2009 11:46:43

AEHELP.DLL    : 8.1.2.2       119158 Bytes  28.02.2009 14:01:08

AEGEN.DLL     : 8.1.1.44      348532 Bytes  16.05.2009 11:46:42

AEEMU.DLL     : 8.1.0.9       393588 Bytes  15.10.2008 08:09:38

AECORE.DLL    : 8.1.6.9       176500 Bytes  15.04.2009 14:46:38

AEBB.DLL      : 8.1.0.3        53618 Bytes  15.10.2008 08:09:37

AVWINLL.DLL   : 1.0.0.12       15105 Bytes  17.07.2008 17:11:44

AVPREF.DLL    : 8.0.2.0        38657 Bytes  17.07.2008 17:11:44

AVREP.DLL     : 8.0.0.3       155688 Bytes  20.04.2009 07:02:45

AVREG.DLL     : 8.0.0.1        33537 Bytes  17.07.2008 17:11:44

AVARKT.DLL    : 1.0.0.23      307457 Bytes  12.02.2008 08:29:19

AVEVTLOG.DLL  : 8.0.0.16      119041 Bytes  17.07.2008 17:11:44

SQLITE3.DLL   : 3.3.17.1      339968 Bytes  22.01.2008 17:28:02

SMTPLIB.DLL   : 1.2.0.23       28929 Bytes  17.07.2008 17:11:44

NETNT.DLL     : 8.0.0.1         7937 Bytes  25.01.2008 12:05:07

RCIMAGE.DLL   : 8.0.0.51     2371841 Bytes  17.07.2008 17:11:42

RCTEXT.DLL    : 8.0.52.0       86273 Bytes  17.07.2008 17:11:42
 

Konfiguration für den aktuellen Suchlauf:

Job Name.........................: Vollständige Systemprüfung

Konfigurationsdatei..............: F:\Programme\Avira\AntiVir PersonalEdition Classic\sysscan.avp

Protokollierung..................: niedrig

Primäre Aktion...................: interaktiv

Sekundäre Aktion.................: ignorieren

Durchsuche Masterbootsektoren....: ein

Durchsuche Bootsektoren..........: ein

Bootsektoren.....................: C:, E:, F:, G:, 

Durchsuche aktive Programme......: ein

Durchsuche Registrierung.........: ein

Suche nach Rootkits..............: ein

Datei Suchmodus..................: Alle Dateien

Durchsuche Archive...............: ein

Rekursionstiefe einschränken.....: aus

Archiv Smart Extensions..........: ein

Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, 

Makrovirenheuristik..............: ein

Dateiheuristik...................: hoch

Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR,
 

Beginn des Suchlaufs: Sonntag, 17. Mai 2009  18:44
 

Der Suchlauf nach versteckten Objekten wird begonnen.

Es wurden '93785' Objekte überprüft, '0' versteckte Objekte wurden gefunden.
 

Der Suchlauf über gestartete Prozesse wird begonnen:

Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'msiexec.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'firefox.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'skypePM.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'KHALMNPR.EXE' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'SetPoint.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'FNPLicensingService.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'rapimgr.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'Skype.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'NCLauncher.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'OctoshapeClient.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'wcescomm.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'Acrotray.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'WinSys2.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'TSVNCache.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'nSvcAppFlt.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'DXDebugService.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'Apache.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'nSvcLog.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'nSvcIp.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'jqs.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'Apache.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'AccWLSvc.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht

Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht

Es wurden '50' Prozesse mit '50' Modulen durchsucht
 

Der Suchlauf über die Masterbootsektoren wird begonnen:

Masterbootsektor HD0

    [INFO]      Es wurde kein Virus gefunden!

Masterbootsektor HD1

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf über die Bootsektoren wird begonnen:

Bootsektor 'C:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'E:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'F:\'

    [INFO]      Es wurde kein Virus gefunden!

Bootsektor 'G:\'

    [INFO]      Es wurde kein Virus gefunden!
 

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.

Die Registry wurde durchsucht ( '56' Dateien ).
 
 

Der Suchlauf über die ausgewählten Dateien wird begonnen:
 

Beginne mit der Suche in 'C:\'

C:\pagefile.sys

    [WARNUNG]   Die Datei konnte nicht geöffnet werden!

C:\Dokumente und Einstellungen\All Users\Dokumente\GER_SQLEVAL.EXE

    [0] Archivtyp: CAB SFX (self extracting)

    --> \books\odssql.chi

      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.

C:\Dokumente und Einstellungen\*MeinName*\DoctorWeb\Quarantine\popcaploader.dll

    [FUND]      Enthält Erkennungsmuster des SPR/Dldr.PopCap.A-Programmes

    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4a804164.qua' verschoben!

Beginne mit der Suche in 'E:\' <Daten>

Beginne mit der Suche in 'F:\' <Applikationen>

Beginne mit der Suche in 'G:\' <Volume>
 
 

Ende des Suchlaufs: Sonntag, 17. Mai 2009  21:27

Benötigte Zeit:  2:43:07 Stunde(n)
 

Der Suchlauf wurde vollständig durchgeführt.
 

  63792 Verzeichnisse wurden überprüft

 1469201 Dateien wurden geprüft

      1 Viren bzw. unerwünschte Programme wurden gefunden

      0 Dateien wurden als verdächtig eingestuft

      0 Dateien wurden gelöscht

      0 Viren bzw. unerwünschte Programme wurden repariert

      1 Dateien wurden in die Quarantäne verschoben

      0 Dateien wurden umbenannt

      1 Dateien konnten nicht durchsucht werden

 1469199 Dateien ohne Befall

   8316 Archive wurden durchsucht

      2 Warnungen

      1 Hinweise

  93785 Objekte wurden beim Rootkitscan durchsucht

      0 Versteckte Objekte wurden gefunden

Ok, also verbleibt die ' mcfmfli.sys' erstmal auf meinem System?
Und der Popcaploader? Ich weiss leider noch nicht wie ich DrWeb sauber entferne...:(

Zitat:

Ok, also verbleibt die ' mcfmfli.sys' erstmal auf meinem System?

Ja. Das müssen Falschmeldungen sein, da hake ich nach. Es scheint fast so, als würden die Bezeichnungen für die Schädlinge(oder auch nicht) nicht ermittelt sondern gewürfelt.

Zitat:

Ich weiss leider noch nicht wie ich DrWeb sauber entferne...

Der ist in Quarantäne von DrWeb. Falls du ihn deinstalliert hast, dann lösche den Ordner

Code:

C:\Dokumente und Einstellungen\*MeinName*\DoctorWeb

mit [Umschalt][Entf].

Gibt es noch irgendwelche Auffälligkeiten, denn wir jagen zur Zeit nur noch Falschmeldungen hinterher?

ciao, andreas

Auffälligkeiten bemerke ich keine mehr.
- keine Umleitungen
- keine Trayicons
Einzig der Ordner
'C:\Programme\EbatesMoeMoneyMaker'
kam mir seltsam vor. Als mir die Anleitung zur Systeminstallation empfohlen wurde, hab ich den Programme Ordner mal durchgestöbert und da war er mir nicht aufgefallen. Das kann allerdings auch ganz unbedeutend sein. Ich werde einfach mal darauf achten, ob sowas wieder auftaucht.

Gruß
Philipp