Fileinfector?

moreno111 · 11.07.2006, 05:30

hi!

habe sei einigen tagen diesen Virus drauf:

http://img97.imageshack.us/my.php?image=unbenannt8ya.jpg

er erscheint immer wieder,voralldem wenn ich MWAV runterlade und es entpacken will gibt Bitdefender Alarm so wie auf dem Photo!!

Hier mal mein Log:

Logfile of HijackThis v1.99.1
Scan saved at 06:30:10, on 11.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
C:\Programme\AGEIA Technologies\TrayIcon.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Programme\Softwin\BitDefender9\bdoesrv.exe
C:\progra~1\softwin\bitdef~1\bdnagent.exe
C:\progra~1\softwin\bitdef~1\bdswitch.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
c:\programme\softwin\bitdefender9\vsserv.exe
c:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\Programme\Steam\steam.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Dokumente und Einstellungen\moo\Desktop\Everest Ultimate Edition 2006 Build 3.00.630 Final\everest.bin
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\moo\LOKALE~1\Temp\Rar$EX00.328\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alternate.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [AGEIA PhysX SysTray] C:\Programme\AGEIA Technologies\TrayIcon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [amd_dc_opt] "C:\Programme\AMD\amd_dc_opt\amd_dc_opt.exe"
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "C:\Programme\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "c:\progra~1\softwin\bitdef~1\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "c:\progra~1\softwin\bitdef~1\bdswitch.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [almgr.exe] C:\WINDOWS\system32\almgr.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D148F3B6-BEB0-4609-99BE-88B70C19B4A9}: NameServer = 217.237.149.161 217.237.151.33
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - c:\programme\softwin\bitdefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

mfg moreno111

**Sunny** · 11.07.2006, 09:52

Hallo Moreno,

lass als erstes mal folgende Datei bei Virustotal auswerten:

Zitat:

C:\WINDOWS\system32\almgr.exe

Poste anschliessend das Ergebnis in einen Beitrag!

Gruß
Daniel

moreno111 · 11.07.2006, 10:05

hi!

folgendes ergebnis:

AntiVir 6.35.0.21 07.11.2006 no virus found
Authentium 4.93.8 07.10.2006 no virus found
Avast 4.7.844.0 07.10.2006 no virus found
AVG 386 07.10.2006 no virus found
BitDefender 7.2 07.11.2006 no virus found
CAT-QuickHeal 8.00 07.11.2006 no virus found
ClamAV devel-20060426 07.10.2006 no virus found
DrWeb 4.33 07.11.2006 no virus found
eTrust-InoculateIT 23.72.65 07.10.2006 no virus found
eTrust-Vet 12.6.2294 07.11.2006 no virus found
Ewido 4.0 07.11.2006 no virus found
Fortinet 2.77.0.0 07.11.2006 no virus found
F-Prot 3.16f 07.10.2006 no virus found
F-Prot4 4.2.1.29 07.10.2006 no virus found
Ikarus 0.2.65.0 07.10.2006 no virus found
Kaspersky 4.0.2.24 07.11.2006 no virus found
McAfee 4803 07.10.2006 no virus found
Microsoft 1.1481 07.10.2006 no virus found
NOD32v2 1.1653 07.11.2006 probably unknown NewHeur_PE virus
Norman 5.90.23 07.10.2006 no virus found
Panda 9.0.0.4 07.10.2006 Suspicious file
Sophos 4.07.0 07.11.2006 no virus found
Symantec 8.0 07.11.2006 no virus found
TheHacker 5.9.8.172 07.11.2006 no virus found
UNA 1.83 07.10.2006 no virus found
VBA32 3.11.0 07.10.2006 no virus found
VirusBuster 4.3.7:9 07.10.2006 no virus found

bei jotti.org:

AntiVir Found nothing
ArcaVir Found nothing
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found nothing
ClamAV Found nothing
Dr.Web Found nothing
F-Prot Antivirus Found nothing
Fortinet Found nothing
Kaspersky Anti-Virus Found nothing
NOD32 Found probably unknown NewHeur_PE (probable variant)
Norman Virus Control Found nothing
UNA Found nothing
VirusBuster Found nothing
VBA32 Found nothing

mfg moreno111

**Sunny** · 11.07.2006, 10:39

Zitat:

Zitat von moreno111

NOD32v2 1.1653 07.11.2006 probably unknown NewHeur_PE virus

Könnte sich dabei um einen ganzen neuen Virus/Trojaner handeln laut Statistik von NOD32!!!
Ich könnte dir jetzt vorschlagen diese Datei einfach zu löschen, was aber wirklich dahinter steckt kann auch ich dir nicht sagen. In diesem Falle würde ich (wahrscheinlich!) mein System neu installieren.

Bevor du aber vielleciht alles löscht, Scanne dein System mal mit folgenden Tools, und poste anschliessend die Report Dateien:

http://www.zdnet.de/downloads/prg/r/j/deANRJ-wc.html
http://www.trojaner-board.de/showthread.php?t=24192 (Beachte dabei den Teil der "datfind.bat"!)

Gruß
Daniel

moreno111 · 11.07.2006, 13:13

hi!

also beim ersten scanner hat er nichts gefunden und escan läuft erst gar nicht,immer wenn ich escan entpacken will ist mwav.exe und mexe.com infiziert!

ich habe da aber noch eine andere vermutung:

ich wurde mal auf folgende page verlinkt naemlich diese hier (nur ein bild:P)

http://img140.imageshack.us/my.php?image=jo9ai.jpg

da steht auch was von mexe,ich vermute es hat sich nen hijacker oder halt nen trojaner eingeschlichen,system hab ich grade vor 4 tagen erst neu gemacht!!ideen???

mfg moreno111

ordell1234 · 11.07.2006, 13:28

Hi,

sieht ganz so aus, als würde dein Bitdefender escan ankeifen. Schalte mal den residenten Schutz aus oder alternativ, starte escan im abgesicherten Modus mit Netzwerktreibern.

Gruß

moreno111 · 13.07.2006, 10:13

hi!

hab mein sys nochmal neu aufgesetzt und nochmal ein log erstellt!

ist es jetzt sauber??

Logfile of HijackThis v1.99.1
Scan saved at 11:11:11, on 13.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Softwin\BitDefender9\bdoesrv.exe
C:\progra~1\softwin\bitdef~1\bdnagent.exe
C:\progra~1\softwin\bitdef~1\bdswitch.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Steam\steam.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender9\vsserv.exe
c:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\moO\LOKALE~1\Temp\Rar$EX00.438\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.alternate.de/
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] "nwiz.exe" /install
O4 - HKLM\..\Run: [NvMediaCenter] "RunDLL32.exe" NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] "C:\Programme\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "c:\progra~1\softwin\bitdef~1\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "c:\progra~1\softwin\bitdef~1\bdswitch.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKLM\..\Run: [NeroFilterCheck] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [amd_dc_opt] "C:\Programme\AMD\amd_dc_opt\amd_dc_opt.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {E36C5562-C4E0-4220-BCB2-1C671E3A5916} (Seagate SeaTools English Online) - http://www.seagate.com/support/disc/...npseatools.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2CCD042D-42FE-41E9-8B48-7EF1209D56F5}: NameServer = 217.237.149.161 217.237.151.33
O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: Webroot Spy Sweeper-Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k (WAS IST DAS?????????????????????????)

mfg moreno111

irrlicht · 13.07.2006, 10:29

Hallo moreno,
gestern abend habe ich es erst geschrieben und schon heute kann ich es kopieren...
5-6 Threads unter dir steht was zum "Dumprep".

Das ist ein Tool, das bei auftretenden Fehlern ein Abbild des Speichers (dump) macht. Diese dumps werden als Dateien unter "Windows/Minidump" gespeichert. Anfangen kann ein normaler User damit überhaupt nichts. Selbst für einen Programmierer sind diese dumps ohne die entsprechenden Tools und genaue Kentniss des Quellcode vom Betriebssystem nutzlos. Ich glaube das dieses Speierbild jenes ist, das verschickt wird,wenn Windows dich fragt "Fehlerbericht an Microsoft senden "

Man kann diesen Eintrag aus dem Autostart (Registry) löschen. Das ist harmlos, aber auch eine sich öfter wiederholende Aufgabe, weil Windows in der Standardeinstellung diesen Eintrag bei jedem neuen (entsprechenden) Fehler wieder hinzufügt.

Wenn man darauf verzichten möchte, diesen Eintrag hin und wieder im Autostart vorzufinden, kann man unter "Arbeitsplatz", Eigenschaften", "Erweitert", "Systemstart, Systemfehler....", "Einstellungen" ,"Debuginformationen speichern" die Grösse des Speicherabbildes auf "keine" setzen.
Alle Klarheiten beseitigt ?
Irrlicht

cronos · 13.07.2006, 10:35

@ Irrlicht

Zitat:

Ich glaube das dieses Speierbild jenes ist, das verschickt wird,wenn Windows dich fragt "Fehlerbericht an Microsoft senden "

Da glaubst du richtig. Und damit glaubst du nicht mehr, sondern weißt.

@ moreno

Ansonsten ist der Log sauber, bis auf Daemon Tool. Das bringt afaik in den neueren Versionen Adware (keine Syware) mit.

Fileinfector?

Plagegeister aller Art und deren Bekämpfung: Fileinfector?

Fileinfector?

Fileinfector?

Fileinfector?

Fileinfector?

Fileinfector?

Fileinfector?

Fileinfector?

Fileinfector?

Fileinfector?

Ähnliche Themen: Fileinfector?

11.07.2006, 13:28	#6
ordell1234	Fileinfector? Hi, sieht ganz so aus, als würde dein Bitdefender escan ankeifen. Schalte mal den residenten Schutz aus oder alternativ, starte escan im abgesicherten Modus mit Netzwerktreibern. Gruß