Virus: Win32:Trojan-gen

nirvfreak · 10.11.2006, 23:46

Hallo leute. dies ist mein erster post in so einem forum.
kenne mich eigentlich kaum mit der materie aus, aber bei google etc und suche habe ich kaum hilfe gefunden.
habe heute von avast eine virus meldung bekommen.
und zwar: Win32:Trojan-gen
pfad: C:\DOKUME~1\***~1\LOKALE~1\Temp\nsc55.tmp\EvIDPatch.exe
kann das mit einem programm (pplive) zu tun haben, da nach der inst. dieses progs die virus meldung kam. und ist dies gefährlich oder wieder mal so ein ding von avast. hoffe meine angaben und fragen sind ausreichend.
um hilfe wäre ich sehr dankbar.

Logfile of HijackThis v1.99.1
Scan saved at 00:12:07, on 11.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ALCWZRD.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\CapabilityManager.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Alwil Software\Avast4\ashSimpl.exe
C:\PROGRA~1\MOZILL~1\firefox.exe
C:\Dokumente und Einstellungen\***\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://www.arcor.de/login/sso_butler.jsp
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: Burn4Free Toolbar Helper - {F8E5CA21-C27B-43e7-B2BE-4CA93C9F9A1F} - C:\Programme\Burn4Free Toolbar\v2.0.0.5\Burn4Free_Toolbar.dll
O3 - Toolbar: Burn4Free Toolbar - {70DE7956-479D-4eb7-8641-2B45774C350E} - C:\Programme\Burn4Free Toolbar\v2.0.0.5\Burn4Free_Toolbar.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [EPSON Stylus C66 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I2S1.EXE /P23 "EPSON Stylus C66 Series" /O5 "LPT1:" /M "Stylus C66"
O4 - HKLM\..\Run: [EPSON Stylus C66 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I2S1.EXE /P33 "EPSON Stylus C66 Series (Kopie 1)" /O6 "USB001" /M "Stylus C66"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/MsnMessengerSetupDownloader.cab[/url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{89BFF8AE-A776-4785-B4E7-1295649639E1}: NameServer = 195.50.140.178 195.50.140.114
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

chaosman · 11.11.2006, 09:57

Hi nirvfreak,

lasse diesen Datei C:\DOKUME~1\***~1\LOKALE~1\Temp\nsc55.tmp\EvIDPatc h.exe
hier überprüfen und poste das Ergebnis

chaosman

nirvfreak · 11.11.2006, 12:53

Danke für die schnelle antwort.
Auf der von dir gelinkten seite kann die datei nicht kontrolliert werden.
Habe sie darauf hin bei Virustotal.com getestet. Dieser zeigte mir keinen Virus an
Das logfile hänge ich noch mal dran.
War denn der soinstige HiJ log in ordnung?

Logfile von Virustotal
AntiVir 7.2.0.39 11.10.2006 no virus found
Authentium 4.93.8 11.10.2006 no virus found
Avast 4.7.892.0 11.09.2006 no virus found
AVG 386 11.10.2006 no virus found
BitDefender 7.2 11.11.2006 no virus found
CAT-QuickHeal 8.00 11.10.2006 no virus found
ClamAV devel-20060426 11.11.2006 no virus found
DrWeb 4.33 11.11.2006 no virus found
eTrust-InoculateIT 23.73.52 11.11.2006 no virus found
eTrust-Vet 30.3.3186 11.10.2006 no virus found
Ewido 4.0 11.10.2006 no virus found
Fortinet 2.82.0.0 11.11.2006 no virus found
F-Prot 3.16f 11.10.2006 no virus found
F-Prot4 4.2.1.29 11.10.2006 no virus found
Ikarus 0.2.65.0 11.10.2006 no virus found
Kaspersky 4.0.2.24 11.11.2006 no virus found
McAfee 4893 11.10.2006 no virus found
Microsoft 1.1609 11.11.2006 no virus found
NOD32v2 1862 11.10.2006 no virus found
Norman 5.80.02 11.10.2006 no virus found
Panda 9.0.0.4 11.10.2006 no virus found
Sophos 4.11.0 11.07.2006 no virus found
TheHacker 6.0.1.116 11.09.2006 no virus found
UNA 1.83 11.10.2006 no virus found
VBA32 3.11.1 11.10.2006 no virus found
VirusBuster 4.3.15:9 11.10.2006 no virus found

Aditional Information
File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709

**Sunny** · 11.11.2006, 12:56

Versuch mal folgendes:

Suche die Datei -> C:\DOKUME~1\***~1\LOKALE~1\Temp\nsc55.tmp\EvIDPatc h.exe

Kopiere sie auf C:\ ; danach benenne sie um in "Virus.exe", lass diese dann nochmals bei Virustotal überprüfen!

Gruß
Sunny

nirvfreak · 11.11.2006, 13:54

Die Datei kann nicht kopiert oder verschoben werden.
Bei Virusscan kommt folgende Meldung:- The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file
Kann der Virus im zusammen hang mit dem prog pplive stehen?
Edit: Habs auch schon ohne firewall bei virusscan probiert, kam selbe fehlermeldung.
habe im netz jetzt schon öffters gelesen, das dies ein häüfiger fehler bei avast ist. vorallem der Win32:Trojan-gen soll da besonders oft vorkommen. was ist eure meinung dazu?

ordell1234 · 12.11.2006, 11:25

Zitat:

Kann der Virus im zusammen hang mit dem prog pplive stehen?

Ja. Das Programm nutzt EvIDPatch.exe und der Autor der EvIDPatch.exe beteuert auf seiner zweifelhaften Website, dass es sich nicht um malware handele (h**p://www.lvllord.de). Versuche mal dem Tipp von [GC]Sunny im abgesicherten Modus zu folgen. Ne andere Möglichkeit: Lösche die Datei mit der Killbox, delete on reboot, und gehe nach dem Neustart in das Verzeichnis der Killbox. Wenn ich mich recht erinnere, legt Killbox ein Verzeichnis der gelöschten Dateien an. Versuche in diesem Verzeichnis, die Datei umzubenennen und auswerten zu lassen. Gruß

nirvfreak · 12.11.2006, 14:31

Also das mit Killbox funzt auch nicht.
Da kommt bei Virusscan die selbe Fehlermeldung.
Könnte ich denn den Virus einfach mit avast löschen?
Was macht den der Virus mit meinen System, da es bis jetzt gar keine Auffälligkeiten gab?
Versuch noch mal den Tip im Abgesicherten Modus zu befolgen

nirvfreak

nirvfreak · 12.11.2006, 14:54

So hab es jetzt geschafft. Allerdings kann ich es bei Virusccsan immer noch nicht
prüfen lassen. Bei virustotal findet er weiterhin kein Virus
Hier mal die auswertung:

Complete scanning result of "Virus.exe", received in VirusTotal at 11.12.2006, 14:40:53 (CET).

Antivirus Version Update Result
AntiVir 7.2.0.39 11.10.2006 no virus found
Authentium 4.93.8 11.10.2006 no virus found
Avast 4.7.892.0 11.09.2006 no virus found
AVG 386 11.11.2006 no virus found
BitDefender 7.2 11.12.2006 no virus found
CAT-QuickHeal 8.00 11.11.2006 no virus found
ClamAV devel-20060426 11.11.2006 no virus found
DrWeb 4.33 11.12.2006 no virus found
eTrust-InoculateIT 23.73.52 11.11.2006 no virus found
eTrust-Vet 30.3.3186 11.10.2006 no virus found
Ewido 4.0 11.12.2006 no virus found
Fortinet 2.82.0.0 11.12.2006 no virus found
F-Prot 3.16f 11.10.2006 no virus found
F-Prot4 4.2.1.29 11.10.2006 no virus found
Ikarus 0.2.65.0 11.10.2006 no virus found
Kaspersky 4.0.2.24 11.12.2006 no virus found
McAfee 4893 11.10.2006 no virus found
Microsoft 1.1609 11.12.2006 no virus found
NOD32v2 1862 11.10.2006 no virus found
Norman 5.80.02 11.10.2006 no virus found
Panda 9.0.0.4 11.11.2006 no virus found
Sophos 4.11.0 11.07.2006 no virus found
TheHacker 6.0.1.117 11.12.2006 no virus found
UNA 1.83 11.10.2006 no virus found
VBA32 3.11.1 11.10.2006 no virus found
VirusBuster 4.3.15:9 11.11.2006 no virus found

Aditional Information
File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709

Also kein Virus?
Noch mal zum prog. habe es sofort wieder deinstalliert. Die EvIDpatch.exe läüft auch nicht als prozzes.
Ist den das was der Autor sagt glaubwürdig bzw. realistich? (wie gesagt kenne mich in der Materie gar nicht aus)
Zitat :Manche Viren und Trojanerschreiber verwenden die gleiche Technik das Limit zu erhöhen, so dass sich diese einfacher im Netz verbreiten. Dieses läuft ohne Kenntnis des Nutzers ab und diese sind somit nicht darauf eingestellt.

ordell1234 · 12.11.2006, 22:33

Eine Datei, die sich vor einem Virenscan versteckt, ist nie besonders vertrauenswürdig, oder was meinst du?!

Scanne dein System mit Blacklight und poste in jedem Fall das log. Sollte Blacklight fündig werden, versuche, die von Blacklight umbenannten Dateien bei virustotal auswerten zu lassen. Poste bitte auch diese logs.

Sollte Blacklight nichts finden, poste bitte das log von silentrunners. Zusätzlich kannst du versuchen, die virus.exe in virus.ren umzubennen und erneut auswerten zu lassen (edit: im abgesicherten Modus mit geladenen Netzwerktreibern). Gruß

nirvfreak · 13.11.2006, 00:09

Zitat:

Zitat von ordell1234

Eine Datei, die sich vor einem Virenscan versteckt, ist nie besonders vertrauenswürdig, oder was meinst du?!

Also ich glaube da liegt ein missverständniss vor.
Ich konnte die dateie nur nicht auf der von chaosman gelinkten seite prüfen.
Diese habe ich dann weiterhin ( blöderweise) Virusscan gennant, da die adresse mit virusscan anfing.
Bei Virustotal.de konnte ich die Datei prüfenlassen, was zu dem Ergebniss kam
das kein Virus gefunden wurde.

Das einzige prob war, das ich die datei nicht verschieben konnte.
Nach dem tipp mit Killbox habe ich die datei wie beschrieben umbenannt und prüfen lassen jedoch wieder mit dem Ergebniss, das kein Virus gefunden wurde.

Es tut mir wirklich sehr leid wenn ich aufgrund meiner falschen Schreib- bzw. Ausdrucksweise für verwirrung gesorgt habe.

Ich habe deine Anleitung befolgt. Blacklight hat nichts gefunden.
Hier mal das log

11/12/06 23:36:50 [Info]: BlackLight Engine 1.0.47 initialized
11/12/06 23:36:50 [Info]: OS: 5.1 build 2600 (Service Pack 2)
11/12/06 23:36:51 [Note]: 7019 4
11/12/06 23:36:51 [Note]: 7005 0
11/12/06 23:36:58 [Note]: 7006 0
11/12/06 23:36:58 [Note]: 7011 1672
11/12/06 23:36:58 [Note]: 7026 0
11/12/06 23:36:58 [Note]: 7026 0
11/12/06 23:37:03 [Note]: FSRAW library version 1.7.1020
11/12/06 23:44:04 [Note]: 7007 0

hier ist das log von silentrunners

"Silent Runners.vbs", revision 49, Silent Runners - Adware? Disinfect, don't reformat!
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"Arcor Online" = "(empty string)" [file not found]
"SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"High Definition Audio Property Page Shortcut" = "HDAShCut.exe" ["Windows (R) Server 2003 DDK provider"]
"SmcService" = "C:\PROGRA~1\Sygate\SPF\smc.exe -startgui" ["Sygate Technologies, Inc."]
"AlcWzrd" = "ALCWZRD.EXE" ["RealTek Semicoductor Corp."]
"Alcmtr" = "ALCMTR.EXE" ["Realtek Semiconductor Corp."]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"avast!" = "C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [null data]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"Arcor Online" = "(empty string)" [file not found]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_06\bin\jusched.exe" ["Sun Microsystems, Inc."]
"(Default)" = "(empty string)" [file not found]
"Sony Ericsson PC Suite" = ""C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions" ["Sony Ericsson Mobile Communications AB"]
"EPSON Stylus C66 Series" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I2S1.EXE /P23 "EPSON Stylus C66 Series" /O5 "LPT1:" /M "Stylus C66"" [file not found]
"EPSON Stylus C66 Series (Kopie 1)" = "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I2S1.EXE /P33 "EPSON Stylus C66 Series (Kopie 1)" /O6 "USB001" /M "Stylus C66"" [file not found]
"MessengerPlus3" = ""C:\Programme\MessengerPlus! 3\MsgPlus.exe"" ["Patchou"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
{E5A1691B-D188-4419-AD02-90002030B8EE}\(Default) = (no title provided)
-> {HKLM...CLSID} = "FlashFXP Helper for Internet Explorer"
\InProcServer32\(Default) = "C:\Programme\FlashFXP\IEFlash.dll" ["IniCom Networks, Inc."]
{F8E5CA21-C27B-43e7-B2BE-4CA93C9F9A1F}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Burn4Free Toolbar Helper"
\InProcServer32\(Default) = "C:\Programme\Burn4Free Toolbar\v2.0.0.5\Burn4Free_Toolbar.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{472083B0-C522-11CF-8763-00608CC02F24}" = "avast"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{32020A01-506E-484D-A2A8-BE3CF17601C3}" = "AlcoholShellEx"
-> {HKLM...CLSID} = "AlcoholShellEx"
\InProcServer32\(Default) = "C:\PROGRA~1\ALCOHO~1\ALCOHO~1\axshlex.dll" ["Alcohol Soft Development Team"]
"{1C311AAA-D8B1-4A0A-BEE5-2387FEC583DA}" = "ShellPlusContextMenu"
-> {HKLM...CLSID} = "Burn4Freecontext menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\b4fm.dll" [null data]
"{EBDF1F20-C829-11D1-8233-0020AF3E97A9}" = "IPS Context Menu Shell Extension"
-> {HKLM...CLSID} = "IPS Context Menu Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\FOTOCO~1\IPSCMH.DLL" [null data]
"{A5110426-177D-4e08-AB3F-785F10B4439C}" = "Sony Ericsson Datei-Manager"
-> {HKLM...CLSID} = "Sony Ericsson Datei-Manager"
\InProcServer32\(Default) = "C:\Programme\Sony Ericsson\Mobile2\File Manager\fmgrgui.dll" ["Sony Ericsson Mobile Communications AB"]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
IPSContMenu\(Default) = "{EBDF1F20-C829-11D1-8233-0020AF3E97A9}"
-> {HKLM...CLSID} = "IPS Context Menu Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\FOTOCO~1\IPSCMH.DLL" [null data]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
IPSContMenu\(Default) = "{EBDF1F20-C829-11D1-8233-0020AF3E97A9}"
-> {HKLM...CLSID} = "IPS Context Menu Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\FOTOCO~1\IPSCMH.DLL" [null data]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
avast\(Default) = "{472083B0-C522-11CF-8763-00608CC02F24}"
-> {HKLM...CLSID} = "avast"
\InProcServer32\(Default) = "C:\Programme\Alwil Software\Avast4\ashShell.dll" ["ALWIL Software"]
IPSContMenu\(Default) = "{EBDF1F20-C829-11D1-8233-0020AF3E97A9}"
-> {HKLM...CLSID} = "IPS Context Menu Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\FOTOCO~1\IPSCMH.DLL" [null data]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]

HKLM\Software\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
ShellPlusContextMenu\(Default) = "{1C311AAA-D8B1-4A0A-BEE5-2387FEC583DA}"
-> {HKLM...CLSID} = "Burn4Freecontext menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\b4fm.dll" [null data]

Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Devices: Allow undock without having to log on}

Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 19
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\
"{70DE7956-479D-4EB7-8641-2B45774C350E}"
-> {HKLM...CLSID} = "Burn4Free Toolbar"
\InProcServer32\(Default) = "C:\Programme\Burn4Free Toolbar\v2.0.0.5\Burn4Free_Toolbar.dll" [null data]

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{70DE7956-479D-4EB7-8641-2B45774C350E}"
-> {HKLM...CLSID} = "Burn4Free Toolbar"
\InProcServer32\(Default) = "C:\Programme\Burn4Free Toolbar\v2.0.0.5\Burn4Free_Toolbar.dll" [null data]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{70DE7956-479D-4EB7-8641-2B45774C350E}" = "Burn4Free Toolbar"
-> {HKLM...CLSID} = "Burn4Free Toolbar"
\InProcServer32\(Default) = "C:\Programme\Burn4Free Toolbar\v2.0.0.5\Burn4Free_Toolbar.dll" [null data]

Explorer Bars

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\

HKLM\Software\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL" [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}"
-> {HKCU...CLSID} = "Java Plug-in"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\ssv.dll" ["Sun Microsystems, Inc."]
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_06"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll" ["Sun Microsystems, Inc."]

{85D1F590-48F4-11D9-9669-0800200C9A66}\
"MenuText" = "Uninstall BitDefender Online Scanner v8"
"Exec" = "%windir%\bdoscandel.exe" [null data]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{E2E2DD38-D088-4134-82B7-F2BA38496583}\
"MenuText" = "@xpsp3res.dll,-20001"
"Exec" = "%windir%\Network Diagnostic\xpnetdiag.exe" [MS]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "@C:\Programme\Messenger\Msgslang.dll,-61144"
"MenuText" = "@C:\Programme\Messenger\Msgslang.dll,-61144"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

avast! Antivirus, avast! Antivirus, ""C:\Programme\Alwil Software\Avast4\ashServ.exe"" [null data]
avast! iAVS4 Control Service, aswUpdSv, ""C:\Programme\Alwil Software\Avast4\aswUpdSv.exe"" [null data]
avast! Mail Scanner, avast! Mail Scanner, ""C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service" ["ALWIL Software"]
avast! Web Scanner, avast! Web Scanner, ""C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service" ["ALWIL Software"]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
StarWind iSCSI Service, StarWindService, "C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe" ["Rocket Division Software"]
Sygate Personal Firewall, SmcService, "C:\Programme\Sygate\SPF\smc.exe" ["Sygate Technologies, Inc."]
Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS]

Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
EPSON V6 2KMonitor\Driver = "EBPMON24.DLL" ["SEIKO EPSON CORPORATION"]
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]

----------
<<!>>: Suspicious data at a malware launch point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 50 seconds, including 18 seconds for message boxes)

ordell1234 · 13.11.2006, 00:48

Zitat:

Es tut mir wirklich sehr leid wenn ich aufgrund meiner falschen Schreib- bzw. Ausdrucksweise für verwirrung gesorgt habe.

Nee nee, das paßt schon. Die Auswertungen bei virustotal funktionieren nicht, da die "EvIDPatch.exe" angeblich eine Größe von 0 byte hat, schau mal in die Auswertungen. Deshalb meinte ich, dass sie sich vor einem scan versteckt.

Deine logs sind bisher sauber, dennoch stört die Datei. Hast du eine Auswertung mit einer Umbenennung und im abgesicherten Modus incl. Netzwerktreibern versucht? Besser noch mittels live-CD wie knoppix oder bartPE.

Eine andere Möglichkeit wäre ein scan mit Unhooker, schau mal, ob dir dort was Verstecktes im Zusammenhang mit der Datei angezeigt wird.

Des weiteren könntest du eine Kopie der Datei bei Kaspersky einsenden, packe sie hierfür in einen rar-Archiv und beschreibe in der mail kurz das Problem. Good luck

nirvfreak · 13.11.2006, 14:48

Hi erstmal danke für die antwort.
ALSO: Hab es geschaft die datei umzubennen.
Dank der änderung des dateianhangs auf .ren
nun habe ich auch ein brauchbares log von Virustotal.
Und leider sieht das nicht so postiv aus.

Log von virustotal

Antivirus Version Update Result
AntiVir 7.2.0.39 11.13.2006 HEUR/Crypted
Authentium 4.93.8 11.10.2006 no virus found
Avast 4.7.892.0 11.13.2006 Win32:Trojan-gen. {Other}
AVG 386 11.12.2006 no virus found
BitDefender 7.2 11.13.2006 MemScan:Backdoor.Virkel.A
CAT-QuickHeal 8.00 11.13.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 11.13.2006 no virus found
DrWeb 4.33 11.13.2006 no virus found
eTrust-InoculateIT 23.73.53 11.13.2006 no virus found
eTrust-Vet 30.3.3190 11.13.2006 no virus found
Ewido 4.0 11.13.2006 no virus found
Fortinet 2.82.0.0 11.13.2006 no virus found
F-Prot 3.16f 11.10.2006 no virus found
F-Prot4 4.2.1.29 11.10.2006 no virus found
Ikarus 0.2.65.0 11.13.2006 no virus found
Kaspersky 4.0.2.24 11.13.2006 no virus found
McAfee 4893 11.10.2006 no virus found
Microsoft 1.1609 11.13.2006 no virus found
NOD32v2 1863 11.13.2006 Win32/Tool.EvID4226
Norman 5.80.02 11.13.2006 no virus found
Panda 9.0.0.4 11.12.2006 Suspicious file
Sophos 4.11.0 11.07.2006 no virus found
TheHacker 6.0.1.117 11.12.2006 no virus found
UNA 1.83 11.13.2006 no virus found
VBA32 3.11.1 11.13.2006 no virus found
VirusBuster 4.3.15:9 11.12.2006 no virus found

Aditional Information
File size: 141824 bytes
MD5: 28597ebd0c039c3934c91d796684c1b8
SHA1: 15963a7441cdd929bd438f4285ef7cfefaa5e0a4
packers: PE_Patch, Aspack

Bitte sagt mir jetzt nicht das ich mein System neu aufsetzen muss

nirvfreak · 13.11.2006, 15:48

Ich habe mal nach den Verschiedenen Virusbezeichnungen gegoogelt.
Oft bin ich dabei auf berichte gestoßen, die behaupten es sei eine fehlmeldung.
Auch aus diesem forum gibt es so ein thread: http://www.trojaner-board.de/30658-f...n-antivir.html
Auf der Seite von Antivir habe ich dies dazu gefunden
HEUR/Crypted - Vollständig
Also ist es vielleicht doch noch nicht aller tage abend?

ordell1234 · 13.11.2006, 17:08

Zitat:

Zitat von nirvfreak

Oft bin ich dabei auf berichte gestoßen, die behaupten es sei eine fehlmeldung.

Ich weiß. Und der Auor der Datei hat sich alle Mühe gegeben, dass die "Fehlermeldungen" ausbleiben. Deine Chancen stehen in etwa 50/50. Damit wäre für mich der Fall klar, auch wenns viel Arbeit ist. Und damit es beim nächsten Mal nicht ganz soviel Arbeit ist, lohnt die Investition in ein vernünftiges Image-Programm.

Einen anderen Rat als neu aufzusetzen kann ich dir nicht geben, insbesondere weil sich der scan der Datei so schwierig gestaltete. Wenn du willst, kannst du zur Gegenprobe die Datei als passwortgeschütztes Zip-Archiv an Bitdefender, Antivir und Kaspersky zur genaueren Analyse einsenden. Warte auf die Antworten und entscheide dann. Gruß ordell1234

nirvfreak · 13.11.2006, 17:42

Oh man das kann doch nicht wahr sein

Kann mir den jemand was zu dem Virus sagen.
Das mit dem prüfen lassen ging dann ja, nach dem ich den dateianhang von .exe in .ren "umgetauft" habe.
Es ist doch aber komisch dass weder Spybot, noch blacklight, silentrunner HijackThis etc. was gefunden hat.
Ich hab es schon zu Kaspersky geschickt (Hoffe da kommt eine gute Antwort).
Gibt es denn sonst gar keine andere möglichkeiten?

Falls ich ihn neu aufsetze muss ich dann auch alle passwörter ändern?

Virus: Win32:Trojan-gen

Log-Analyse und Auswertung: Virus: Win32:Trojan-gen