Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   ruleinternet.exe MALWARE (new?) (https://www.trojaner-board.de/25447-ruleinternet-exe-malware-new.html)

Loonquawl 06.01.2006 11:36
ruleinternet.exe MALWARE (new?)
 
Hab gerade beim runterfahren des PC die Fehlermeldung bekommen "RULEIN~1.EXE kann nicht gestartet werden"
Hat mich dann gewundert was das sein soll und ich hab msconfig gestartet und die Systemstarteinträge angeschautangeschaut. Und siehe da:

Systemstartelement "ruleinternet" ist aktiviert
Befehl: C:\Dokumente und Einstellunge\All Users\Anwendungsdaten\this rect meta ford\ruleinternet.exe
Das Ding lief aber aus irgendwelchen Gründen nicht, sondern wollte immer beim runterfahren starten.
Bei so nem Ordnet und dem Namen konnte es nur was schlechtes sein.
Hab erstmal AntiVir drüberlaufen lassen - ohne Ergebnis.
Bei Jottis Onlline-Scan sah das schon anders aus:
Zitat:
File: ruleinternet.exe
Status:
INFECTED/MALWARE
MD5 a4af744e352193b2317d84e01527ec4b
Packers detected: PE_PATCH.UPC

Scanner results
AntiVir Found Adware-Spyware/Lop.ad.24 adware
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found Adware.Lop-130
Dr.Web Found Trojan.Swizzor
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found not-a-virus:AdWare.Win32.Lop.ag
NOD32 Found a variant of Win32/TrojanDownloader.Swizzor
Norman Virus Control Found Swizzor.gen
UNA Found nothing
VBA32 Found nothing
Datei gelöscht und REG-Einträge entfernt. :)

Da ich in der Google-Suche nichts zur ruleinternet.exe gefunden hab sah ich es
als angebracht es hier zu posten. Gibts hier eigentlich sowas wie nen Virenlexikon im Forum?

mfg

hoerni26 06.01.2006 11:39
hallo,

bitte gönne uns zur einsicht ein HJT logfile.
anleitung dazu im link meiner signatur..

Loonquawl 06.01.2006 12:02
^^war grad dabei :)
sieht so aus, als hätte ich nochwas drauf...die media clock.exe

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 12:24:21, on 06.01.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\sstray.exe
C:\WINDOWS\TBPanel.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
D:\Programme\RAM Idle LE\RAM_XP.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\EN\DevDetect.exe
C:\WINDOWS\System32\RUNDLL32.EXE
c:\progra~1\intern~1\iexplore.exe
D:\Programme\BWMeter\BWMeter.exe
D:\Programme\Samurize\Client.exe
D:\Programme\Samurize\Client.exe
D:\Programme\girder\Girder.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
D:\Programme\burning\Alcohol 120\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\Programme\SpeedFan\speedfan.exe
D:\Programme\Firefox\firefox.exe
D:\Tools\cryCounter.exe
D:\Tools\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [meta ford meet meow] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\this rect meta ford\ruleinternet.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{3169E8FA-9AF6-4968-89CD-37970737CAE8}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{3169E8FA-9AF6-4968-89CD-37970737CAE8}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{3169E8FA-9AF6-4968-89CD-37970737CAE8}: NameServer = 192.168.0.1
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\burning\Alcohol 120\Alcohol 120\StarWind\StarWindService.exe
http://www.zerebruin.de/dl/HJT-screen.jpg


hmm die HJT v1.99.1 ist schon besser, da wird das log ja automatisch gespeichert :D

Loonquawl 06.01.2006 12:15
weitere Dateien im Zusammenhang damit:
alle im Ordner C:\Dokumente und Einstellungen\David\Anwendungsdaten\PlusWave\

Zitat:
Datei: media_clock.exe
Status: INFIZIERT/MALWARE
Entdeckte Packprogramme: PE_PATCH.UPC

ClamAV Adware.Lop-130 gefunden
Kaspersky Anti-Virus not-a-virus:AdWare.Win32.Lop.ag gefunden
NOD32 a variant of Win32/TrojanDownloader.Swizzor gefunden
Zitat:
File: Pure_bold_dead.exe
Status: INFECTED/MALWARE
MD5 d1baf7e750729d632ba22245537b0f58
Packers detected: PE_PATCH.UPC
ClamAV Found Adware.Lop-130
Dr.Web Found Trojan.LopAd
F-Prot Antivirus Found W32/Swizzor.BN@dl
Fortinet Found nothing
Kaspersky Anti-Virus Found not-a-virus:AdWare.Win32.Lop.ag
NOD32 Found a variant of Win32/TrojanDownloader.Swizzor
Norman Virus Control Found Swizzor.gen.C
UNA Found nothing
VBA32 Found Trojan-Downloader.Win32.Swizzor.cb
Zitat:
File: zervgpwl.exe
Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
MD5 a4af744e352193b2317d84e01527ec4b
Packers detected: PE_PATCH.UPC

Scanner results
AntiVir Found Adware-Spyware/Lop.ad.24 adware
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found Adware.Lop-130
Dr.Web Found Trojan.Swizzor
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found not-a-virus:AdWare.Win32.Lop.ag
NOD32 Found a variant of Win32/TrojanDownloader.Swizzor
Norman Virus Control Found Swizzor.gen
UNA Found nothing
VBA32 Found nothing

hoerni26 06.01.2006 12:19
bitte poste ein neues logfile mit der neuen version.
du hast eine ältere benutzt.

Loonquawl 06.01.2006 12:28
hab den Log ausgetauscht....

hoerni26 06.01.2006 12:31
arbeite Dies bitte punkt für punkt ab.
teile das ergebniss bitte hier mit.

Loonquawl 06.01.2006 14:51
Puh! Fertig :crazy:
Ergebniss: Es waren keine Viren oder Trojaner drauf, nur eben die genannten Varianten von Win32/TrojanDownloader.Swizzor (NOD32 Bezeichnung)

Werde in den nächsten Tagen nochmal scannen um sicher zu gehen, dass wirklich nichts übrig ist.

Danke für die Hilfe. :)

hoerni26 06.01.2006 14:53
du solltest bitte das ergebniss der find.bat hier posten.
wollte mir das ganze mal anschauen


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:26 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28