Huhu, hab gestern rumgesurft und nichtsahnend läd der Inetexplorer ne Datei runter und zack ist auf einmal secure32.html meine neue Startseite die sich auch nicht mehr ändern lässt. Ansonsten ist alles normal...

Logfile of HijackThis v1.99.1
Scan saved at 00:43:30, on 03.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\NETGEAR\WG511v2\wlancfg5.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\msasvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Miranda IM\miranda32.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Uwe\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AutoSys] C:\WINDOWS\system32\autosys.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programme\eMule\emule.exe -AutoStart
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: NETGEAR WG511v2 Wireless Assistant.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\system32\msasvc.exe

Zitat:

Huhu, hab gestern rumgesurft und nichtsahnend läd der Inetexplorer ne Datei runter und zack ist auf einmal secure32.html meine neue Startseite die sich auch nicht mehr ändern lässt.

Naja, an sich führen die Programm nicht von alleine Schädlinge aus aber bei dem löchrigen Schweinebrowser kein Wunder! Nimm in Zukunft stets aktuelle Versionen von Firefox oder Opera, die sind weit nicht so unsicher wie der IE. Surfen sollte man optimalerweise nur in einem eingeschränkten Benutzerkonto, also nicht mit Adminrechten.

C:\WINDOWS\system32\msasvc.exe
C:\WINDOWS\system32\autosys.exe

Sollten wir mal genauer untersuchen. Damit du die online auswerten kannst, solltest du diese zuerst mal mit Killbox löschen. Denn es ist nicht unwahrscheinlich, dass diese Dateien vom Schädling "geschützt" sind und somit der Zugriff darauf verhindert wird.
Besorg dir Killbox und starte es. Kopier dazu die Pfadanangaben zuerst von einer Datei in das Adressfeld von Killbox. Dann aktivierst du die Option "Delete on reboot" und klickst auf das rote Schild mit dem weißen X. Die folgende Frage mit Nein beantworten, sonst würde das System neustarten, aber wir wollen ja, das beide Dateien beim nächsten Systemstart gelöscht werden.
Das gleiche machst du dann mit der anderen Datei auch und startest dann Windows neu.
Schau mal danach in den neuen Ordner C:\!KILLBOX\, ob sich dort die Dateien drin befinden, denn Killbox verschiebt die Dateien nur. Achte darauf, dass alle Dateien angezeigt werden. Werte dann diese beiden Dateien anschließend bei Virustotal aus und poste sämtliche Ergebnisse, auch Infos zu Dateigrößen und Prüfsummen.
Mach auch mal bitte einen Check mit Blacklight und poste das Ergebnis.

STATUS: FINISHEDComplete scanning result of "autosys.exe", received in VirusTotal at 01.03.2007, 01:25:12 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.21 01.02.2007 TR/Dldr.Small.edu
Authentium 4.93.8 12.30.2006 Possibly a new variant of W32/new-malware!Maximus
Avast 4.7.892.0 12.30.2006 no virus found
AVG 386 01.02.2007 Downloader.Generic3.ELL
BitDefender 7.2 01.02.2007 DeepScan:Generic.Malware.Ssp!.9E60ADE1
CAT-QuickHeal 8.00 01.01.2007 TrojanDownloader.Small.edu
ClamAV devel-20060426 01.03.2007 no virus found
DrWeb 4.33 01.03.2007 Trojan.StartPage.1769
eSafe 7.0.14.0 01.02.2007 Win32.Small.edu
eTrust-InoculateIT 23.73.102 12.30.2006 no virus found
eTrust-Vet 30.3.3296 01.02.2007 no virus found
Ewido 4.0 01.02.2007 Downloader.Small.edu
Fortinet 2.82.0.0 01.02.2007 W32/Small.EDU!tr.dldr
F-Prot 3.16f 01.02.2007 Possibly a new variant of W32/new-malware!Maximus
F-Prot4 4.2.1.29 01.02.2007 W32/new-malware!Maximus
Ikarus T3.1.0.27 01.02.2007 Trojan-Downloader.Win32.Small.dib
Kaspersky 4.0.2.24 01.03.2007 Trojan-Downloader.Win32.Small.edu
McAfee 4930 01.02.2007 no virus found
Microsoft 1.1904 01.03.2007 no virus found
NOD32v2 1953 01.02.2007 Win32/TrojanDownloader.Small.NRC
Norman 5.80.02 12.31.2007 W32/Harnig.ENO
Panda 9.0.0.4 01.02.2007 Trj/Sinowal.DV
Prevx1 V2 01.03.2007 Covert.Sys.Exec
Sophos 4.13.0 01.02.2007 Mal/Packer
Sunbelt 2.2.907.0 12.18.2006 VIPRE.Suspicious
TheHacker 6.0.3.141 01.01.2007 Trojan/Downloader.Small.edu
UNA 1.83 12.29.2006 TrojanDownloader.Win32.Small.5D7A
VBA32 3.11.1 01.01.2007 Trojan.StartPage.1769
VirusBuster 4.3.19:9 01.02.2007 novirus:Packed/FSG


Aditional Information
File size: 2981 bytes
MD5: 70990341889b129c2ad39e202c7d67a1
SHA1: 152ca64652a54023c4f5507dfbcabbdc86969da3
packers: FSG
packers: FSG
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=8bbf65667412
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.








STATUS: FINISHEDComplete scanning result of "msasvc.exe", received in VirusTotal at 01.03.2007, 01:27:39 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.21 01.02.2007 TR/PSW.Sinowal.BH.18
Authentium 4.93.8 12.30.2006 W32/Sinowal.AM
Avast 4.7.892.0 12.30.2006 no virus found
AVG 386 01.02.2007 PSW.Generic2.VSG
BitDefender 7.2 01.02.2007 no virus found
CAT-QuickHeal 8.00 01.01.2007 TrojanPSW.Sinowal.bh
ClamAV devel-20060426 01.03.2007 no virus found
DrWeb 4.33 01.03.2007 Trojan.PWS.Snap
eSafe 7.0.14.0 01.02.2007 Win32.Sinowal.bh
eTrust-InoculateIT 23.73.102 12.30.2006 no virus found
eTrust-Vet 30.3.3296 01.02.2007 Win32/Anserin!generic
Ewido 4.0 01.02.2007 Trojan.Sinowal.bh
Fortinet 2.82.0.0 01.02.2007 Spy/Sinowal
F-Prot 3.16f 01.02.2007 security risk named W32/Sinowal.AM
F-Prot4 4.2.1.29 01.02.2007 W32/Sinowal.AM
Ikarus T3.1.0.27 01.02.2007 Trojan-PSW.Win32.Sinowal.bh
Kaspersky 4.0.2.24 01.03.2007 Trojan-PSW.Win32.Sinowal.bh
McAfee 4930 01.02.2007 no virus found
Microsoft 1.1904 01.03.2007 no virus found
NOD32v2 1953 01.02.2007 no virus found
Norman 5.80.02 12.31.2007 W32/Sinowal.AAG
Panda 9.0.0.4 01.02.2007 Trj/Sinowal.DU
Prevx1 V2 01.03.2007 Win32.Malware.gen
Sophos 4.13.0 01.02.2007 no virus found
Sunbelt 2.2.907.0 12.18.2006 no virus found
TheHacker 6.0.3.141 01.01.2007 Trojan/PSW.Sinowal.bh
UNA 1.83 12.29.2006 Trojan.PSW.Win32.Sinowal.8624
VBA32 3.11.1 01.01.2007 Trojan.PWS.Snap
VirusBuster 4.3.19:9 01.02.2007 no virus found


Aditional Information
File size: 3584 bytes
MD5: 7dbdecc2e1e6c3dde741903708579adb
SHA1: 21013400d2568895cc4962c77d525b176245fef4
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=59e364788293







Blacklight hat nix gefunden!

Keiner ne Idee?

Okay, die beiden Dateien sind "gelöscht", d.h. die liegen im Backupordner von Killbox und können so keinen Schaden mehr anrichten.
Folge mal bitte dem Link von eScan in meiner Anleitung und poste relevante Funde, beachte den unteren Teil der Anleitung dazu.
Poste bitte auch ein aktuelles HJT-Logfile.