| rob the gob | 22.05.2008 18:04 |
Win32.Trojan.Rbot ... falscher Alarm?
Hallo zusammen,
vorhin hat mir die Tiefenprüfung von Zone Alarm Pro (die ich täglich laufen lasse) folgendes ausgespuckt: Code:
1 Aktives Element: Win32.Trojan.Rbot (Risiko Hoch)
sitzen soll der Schädling angeblich in folgenden Dateien: Code:
Datei: D:\Programme\3DSMAX8\hair\bin\glut32.dll
Datei: D:\System Volume Information\_restore{3AE4FB2B-25A6-479B-AFF2-FC9D8264BD87}\RP190\A0029935.dll
Datei: D:\System Volume Information\_restore{3AE4FB2B-25A6-479B-AFF2-FC9D8264BD87}\RP191\A0029999.dll
RegistryKey: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\MCD
(die Restoredateien sind erst dazugekommen, nachdem ich versucht hab, das System von gestern wiederherzustellen)
Also gestern hat mir ZoneAlarm diese Meldung noch nich ausgespuckt.. da schien mit der Datei noch nix zu sein...
Virustotal sagt zu glut32.dll folgendes: Code:
Datei glut32.dll empfangen 2008.05.22 18:56:17 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit is zwischen 39 und 56 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.
SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.22.1 2008.05.22 -
AntiVir 7.8.0.19 2008.05.22 -
Authentium 5.1.0.4 2008.05.22 -
Avast 4.8.1195.0 2008.05.22 -
AVG 7.5.0.516 2008.05.22 -
BitDefender 7.2 2008.05.22 -
CAT-QuickHeal 9.50 2008.05.22 -
ClamAV 0.92.1 2008.05.22 -
DrWeb 4.44.0.09170 2008.05.22 -
eSafe 7.0.15.0 2008.05.22 -
eTrust-Vet 31.4.5812 2008.05.22 -
Ewido 4.0 2008.05.22 -
F-Prot 4.4.2.54 2008.05.16 -
F-Secure 6.70.13260.0 2008.05.22 -
Fortinet 3.14.0.0 2008.05.22 -
GData 2.0.7306.1023 2008.05.22 -
Ikarus T3.1.1.26.0 2008.05.22 -
Kaspersky 7.0.0.125 2008.05.22 -
McAfee 5301 2008.05.22 -
Microsoft 1.3520 2008.05.22 -
NOD32v2 3122 2008.05.22 -
Norman 5.80.02 2008.05.22 -
Panda 9.0.0.4 2008.05.22 -
Prevx1 V2 2008.05.22 -
Rising 20.45.32.00 2008.05.22 -
Sophos 4.29.0 2008.05.22 -
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.22 -
TheHacker 6.2.92.317 2008.05.22 -
VBA32 3.12.6.6 2008.05.22 -
VirusBuster 4.3.26:9 2008.05.22 -
Webwasher-Gateway 6.6.2 2008.05.22 -
allerdings spuckt er mir diesen langen Anhang aus, den ich noch nie hatte... kann damit jemand was näheres anfangen: Code:
weitere Informationen
File size: 237568 bytes
MD5...: ae1f4dacacb463450dde420c0758666d
SHA1..: 9b14ae8de96cf7c211152a5d6db8584cd7c3d22f
SHA256: 722b8d2c4912ab640fc766424fe1bffd45a0e735293ac2d763eb4031684bb468
SHA512: 925c28706b42a04c8ffd0b1c58c692d7aab2b719ec5f8938763d275dca5b9a50
a1071f0fb6be067e4ad0f3ae3dd7d44ff2b54e03c23312fd6b5bdcebc0185bba
PEiD..: Armadillo v1.xx - v2.xx
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x10010493
timedatestamp.....: 0x3bea4ff3 (Thu Nov 08 09:27:15 2001)
machinetype.......: 0x14c (I386)
( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x16e66 0x17000 6.46 8abbf8ae3bd90c34dcd1807389bfb0a7
.rdata 0x18000 0x17f76 0x18000 5.18 7a4f0eed9fa0cdcc0b7be6eecdcd8d04
.data 0x30000 0x6594 0x5000 3.02 15e03b5109dfb049821b4b53913676a7
.rsrc 0x37000 0xf28 0x1000 3.23 403ded801422a1bb37193fe8f1297054
.reloc 0x38000 0x39ea 0x4000 5.74 716b649d768b5c0600446871117cc70a
( 6 imports )
> KERNEL32.dll: GetStringTypeW, GetStringTypeA, LCMapStringW, LCMapStringA, MultiByteToWideChar, GetEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsW, FreeEnvironmentStringsA, WriteFile, GetStartupInfoA, GetFileType, GetStdHandle, SetHandleCount, WideCharToMultiByte, HeapSize, GetCPInfo, InterlockedDecrement, GetLastError, TlsGetValue, SetLastError, TlsFree, TlsAlloc, TlsSetValue, GetCurrentThreadId, RtlUnwind, DeleteCriticalSection, InitializeCriticalSection, CompareStringA, CompareStringW, GetACP, GetOEMCP, SetEnvironmentVariableA, SetFilePointer, FlushFileBuffers, RaiseException, SetStdHandle, CloseHandle, VirtualAlloc, VirtualFree, HeapCreate, HeapDestroy, GetVersionExA, GetEnvironmentVariableA, QueryPerformanceCounter, QueryPerformanceFrequency, GetModuleHandleA, InterlockedIncrement, LoadLibraryA, GetModuleFileNameA, GetProcAddress, GetVersion, GetCommandLineA, LeaveCriticalSection, EnterCriticalSection, GetCurrentProcess, TerminateProcess, ExitProcess, HeapReAlloc, HeapFree, HeapAlloc
> USER32.dll: CreateWindowExA, IsWindowVisible, SetCursor, LoadCursorA, WindowFromPoint, GetCursorPos, SetCursorPos, KillTimer, SetTimer, ReleaseCapture, GetDC, GetKeyboardState, ToAscii, GetKeyState, ChildWindowFromPoint, ScreenToClient, BeginPaint, EndPaint, DefWindowProcA, RemoveMenu, InsertMenuA, AppendMenuA, DestroyMenu, CreatePopupMenu, TrackPopupMenu, SetWindowTextA, GetClassInfoA, SetCapture, PostMessageA, DestroyWindow, LoadIconA, RegisterClassA, GetSystemMetrics, ReleaseDC, EnumDisplaySettingsA, ChangeDisplaySettingsA, GetWindowRect, GetWindowLongA, SetWindowLongA, SetWindowPos, ClientToScreen, GetClientRect, AdjustWindowRect, ShowWindow, PeekMessageA, TranslateMessage, DispatchMessageA, MsgWaitForMultipleObjects, GetDesktopWindow
> GDI32.dll: CreatePalette, ChoosePixelFormat, SwapBuffers, GetPixelFormat, SetPixelFormat, DescribePixelFormat, GetDeviceCaps, SetPaletteEntries, GetSystemPaletteEntries, DeleteObject, UnrealizeObject, SelectPalette, RealizePalette, GdiFlush
> WINMM.dll: joyGetDevCapsA, joyGetPosEx, joyReleaseCapture, joySetThreshold, joySetCapture, timeGetTime
> GLU32.dll: gluQuadricNormals, gluQuadricDrawStyle, gluNewQuadric, gluCylinder, gluSphere, gluErrorString
> OPENGL32.dll: glPolygonMode, glPushAttrib, glVertex3f, glNormal3f, glTranslatef, glVertex2f, glPopMatrix, glEvalMesh2, glMapGrid2f, glMap2f, glScalef, glRotatef, glPushMatrix, glEnable, glGetError, wglMakeCurrent, wglGetCurrentDC, wglGetCurrentContext, glViewport, wglCreateContext, glPopAttrib, glBegin, glVertex3fv, glEnd, glDrawBuffer, glReadBuffer, wglDeleteContext, glGetString, glFinish, glGetIntegerv, glPixelStorei, glBitmap, glNormal3fv
( 119 exports )
___glutGetFCB@4, ___glutSetFCB@8, __glutCreateMenuWithExit, __glutCreateWindowWithExit, __glutInitWithExit, glutAddMenuEntry, glutAddSubMenu, glutAttachMenu, glutBitmapCharacter, glutBitmapLength, glutBitmapWidth, glutButtonBoxFunc, glutChangeToMenuEntry, glutChangeToSubMenu, glutCopyColormap, glutCreateMenu, glutCreateSubWindow, glutCreateWindow, glutDestroyMenu, glutDestroyWindow, glutDetachMenu, glutDeviceGet, glutDialsFunc, glutDisplayFunc, glutEnterGameMode, glutEntryFunc, glutEstablishOverlay, glutExtensionSupported, glutForceJoystickFunc, glutFullScreen, glutGameModeGet, glutGameModeString, glutGet, glutGetColor, glutGetMenu, glutGetModifiers, glutGetWindow, glutHideOverlay, glutHideWindow, glutIconifyWindow, glutIdleFunc, glutIgnoreKeyRepeat, glutInit, glutInitDisplayMode, glutInitDisplayString, glutInitWindowPosition, glutInitWindowSize, glutJoystickFunc, glutKeyboardFunc, glutKeyboardUpFunc, glutLayerGet, glutLeaveGameMode, glutMainLoop, glutMenuStateFunc, glutMenuStatusFunc, glutMotionFunc, glutMouseFunc, glutOverlayDisplayFunc, glutPassiveMotionFunc, glutPopWindow, glutPositionWindow, glutPostOverlayRedisplay, glutPostRedisplay, glutPostWindowOverlayRedisplay, glutPostWindowRedisplay, glutPushWindow, glutRemoveMenuItem, glutRemoveOverlay, glutReportErrors, glutReshapeFunc, glutReshapeWindow, glutSetColor, glutSetCursor, glutSetIconTitle, glutSetKeyRepeat, glutSetMenu, glutSetWindow, glutSetWindowTitle, glutSetupVideoResizing, glutShowOverlay, glutShowWindow, glutSolidCone, glutSolidCube, glutSolidDodecahedron, glutSolidIcosahedron, glutSolidOctahedron, glutSolidSphere, glutSolidTeapot, glutSolidTetrahedron, glutSolidTorus, glutSpaceballButtonFunc, glutSpaceballMotionFunc, glutSpaceballRotateFunc, glutSpecialFunc, glutSpecialUpFunc, glutStopVideoResizing, glutStrokeCharacter, glutStrokeLength, glutStrokeWidth, glutSwapBuffers, glutTabletButtonFunc, glutTabletMotionFunc, glutTimerFunc, glutUseLayer, glutVideoPan, glutVideoResize, glutVideoResizeGet, glutVisibilityFunc, glutWarpPointer, glutWindowStatusFunc, glutWireCone, glutWireCube, glutWireDodecahedron, glutWireIcosahedron, glutWireOctahedron, glutWireSphere, glutWireTeapot, glutWireTetrahedron, glutWireTorus
Jotti sagt ebenfalls kein Fund: Code:
Datei: glut32.dll
Auslastung:
0% 100%
Status:
OK
Entdeckte Packprogramme:
-
Bit9 rapportiert: {BIT9_THREAT}
A-Squared
Keine Viren gefunden
AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
CPsecure
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
Keine Viren gefunden
F-Secure Anti-Virus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Ikarus
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
Panda Antivirus
Keine Viren gefunden
Sophos Antivirus
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden
zu guter letzt noch mein Hijackthislog: Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:58:46, on 22.05.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
D:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
D:\Programme\3DSMAX8\mentalray\satellite\raysat_3dsmax8server.exe
C:\Programme\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\!PROGR~1\MOZILL~1\FIREFOX.EXE
C:\Programme\!Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 141.54.1.2:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] d:\Programme\DAEMON Tools Lite\daemon.exe -autorun
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\programme\bonjour\mdnsnsp.dll' missing
O17 - HKLM\System\CCS\Services\Tcpip\..\{9B58116C-FD74-4907-B71F-E8957CF91F03}: NameServer = [ip adresse zensiert],[ip adresse zensiert]
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - D:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: RaySat_3dsmax8 Server (mi-raysat_3dsmax8) - Unknown owner - D:\Programme\3DSMAX8\mentalray\satellite\raysat_3dsmax8server.exe
O23 - Service: mental ray 3.5 Satellite (32-bit) (mi-raysat_3dsmax9_32) - Unknown owner - C:\Programme\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
--
End of file - 6630 bytes
Also ich weiß auch nich was ich davon halten soll... in Quarantäne verschieben mit ZA Pro schien nix gebracht zu haben, ebensowenig wie Systemrestore...
Aber bis auf ZA Pro meinen ja alle Scans, dass da nix sei :/
Ich hoffe ihr könnt mir weiterhelfen... besonders das da steht, das Risiko sei hoch, bereitet mir doch arge Bauchschmerzen. |
