Desktop scam Trojan-Downloader?

Damon Ridenow · 12.03.2007, 07:21

Ich habe heute Nacht aus Interesse einen eScan durchlaufen lassen auf meinem PC, Probleme hab ich nicht.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Microsoft Windows XP [Version 5.1.2600]
Sun Mar 11 23:22:14 2007 => Version 9.1.7
Sun Mar 11 23:17:44 2007 => Virus-Datenbank Datum: 3/7/2007
Sun Mar 11 23:18:22 2007 => Virus-Datenbank Datum: 3/11/2007
Sun Mar 11 23:21:36 2007 => Virus-Datenbank Datum: 3/11/2007
Mon Mar 12 02:05:36 2007 => Virus-Datenbank Datum: 3/11/2007
Mon Mar 12 06:44:39 2007 => Virus-Datenbank Datum: 3/11/2007
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Sun Mar 11 23:42:57 2007 => System found infected with desktop scam Trojan-Downloader (main.exe)! Action taken: Keine Aktion vorgenommen.
Sun Mar 11 23:43:31 2007 => System found infected with spylax Corrupted Adware/Spyware (C:\WINDOWS\unvise32.exe)! Action taken: Keine Aktion vorgenommen.
~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Sun Mar 11 23:42:57 2007 => Offending file found: C:\WINDOWS\main.exe
Sun Mar 11 23:43:31 2007 => Offending file found: C:\WINDOWS\unvise32.exe
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Sun Mar 11 23:43:35 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f700a151-b474-11db-94cb-000feaee799d} !!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Mon Mar 12 02:05:35 2007 => Gefundene Viren: 4
Mon Mar 12 02:05:35 2007 => Anzahl Fehler: 70
Mon Mar 12 02:05:36 2007 => Dauer des Scans bisher: 02:43:10
Mon Mar 12 02:05:35 2007 => Gescannte Dateien: 144584
Sun Mar 11 23:22:14 2007 => Specherüberprüfung: Aktiviert
Sun Mar 11 23:22:14 2007 => Registry Überprüfung: Aktiviert
Sun Mar 11 23:22:14 2007 => System-Ordner Überprüfung: Aktiviert
Sun Mar 11 23:22:14 2007 => Überprüfung der Systembereiche: Deaktiviert
Sun Mar 11 23:22:14 2007 => Überprüfung der Dienste: Aktiviert
Sun Mar 11 23:22:14 2007 => Überprüfung der Festplatten: Deaktiviert
Sun Mar 11 23:22:14 2007 => Überprüfung aller Festplatten :Aktiviert

Ich habe daraufhin die unvise.exe von Hand in Quarantäne verschoben; die main.exe ließ sich nicht verschieben, da sie geöffnet war. Sie ließ sich jedoch im abgesicherten Modus umbenennen und danach verschieben. Neben der main.exe lag übrigens eine mainw.exe, die das gleiche Datum aufweist.

Ich hab dann alle drei Dateien bei Virustotal prüfen lassen, hier kommen die Ergebnisse:

Complete scanning result of "unvise32.exe", received in VirusTotal at 03.12.2007, 06:58:40 (CET).
Antivirus Version Update Result
AntiVir 7.3.1.41 03.11.2007 no virus found
Authentium 4.93.8 03.09.2007 no virus found
Avast 4.7.936.0 03.11.2007 no virus found
AVG 7.5.0.447 03.11.2007 no virus found
BitDefender 7.2 03.12.2007 no virus found
CAT-QuickHeal 9.00 03.10.2007 no virus found
ClamAV devel-20060426 03.12.2007 no virus found
DrWeb 4.33 03.11.2007 no virus found
eSafe 7.0.14.0 03.11.2007 no virus found
eTrust-Vet 30.6.3471 03.12.2007 no virus found
Ewido 4.0 03.11.2007 no virus found
FileAdvisor 1 03.12.2007 no virus found
Fortinet 2.85.0.0 03.12.2007 no virus found
F-Prot 4.3.1.45 03.09.2007 no virus found
F-Secure 6.70.13030.0 03.11.2007 no virus found
Ikarus T3.1.1.3 03.12.2007 no virus found
Kaspersky 4.0.2.24 03.12.2007 no virus found
McAfee 4981 03.09.2007 no virus found
Microsoft 1.2306 03.12.2007 no virus found
NOD32v2 2107 03.11.2007 no virus found
Norman 5.80.02 03.10.2007 no virus found
Panda 9.0.0.4 03.12.2007 no virus found
Prevx1 V2 03.12.2007 no virus found
Sophos 4.15.0 03.10.2007 no virus found
Sunbelt 2.2.907.0 03.10.2007 no virus found
Symantec 10 03.12.2007 no virus found
TheHacker 6.1.6.074 03.12.2007 no virus found
UNA 1.83 03.11.2007 no virus found
VBA32 3.11.2 03.10.2007 no virus found
VirusBuster 4.3.19:9 03.11.2007 no virus found

Aditional Information
File size: 90112 bytes
MD5: 8ce5266f0bbb73c95886cb72b0063cb8
SHA1: a707632c8abdf6116c2afe425439c48671fcdf35

Complete scanning result of "MAIN.EXE", received in VirusTotal at 03.12.2007, 07:03:41 (CET).
Antivirus Version Update Result
AntiVir 7.3.1.41 03.11.2007 no virus found
Authentium 4.93.8 03.09.2007 no virus found
Avast 4.7.936.0 03.11.2007 no virus found
AVG 7.5.0.447 03.11.2007 no virus found
BitDefender 7.2 03.12.2007 no virus found
CAT-QuickHeal 9.00 03.10.2007 no virus found
ClamAV devel-20060426 03.12.2007 no virus found
DrWeb 4.33 03.11.2007 no virus found
eSafe 7.0.14.0 03.11.2007 no virus found
eTrust-Vet 30.6.3471 03.12.2007 no virus found
Ewido 4.0 03.11.2007 no virus found
FileAdvisor 1 03.12.2007 no virus found
Fortinet 2.85.0.0 03.12.2007 no virus found
F-Prot 4.3.1.45 03.09.2007 no virus found
F-Secure 6.70.13030.0 03.11.2007 no virus found
Ikarus T3.1.1.3 03.12.2007 no virus found
Kaspersky 4.0.2.24 03.12.2007 no virus found
McAfee 4981 03.09.2007 no virus found
Microsoft 1.2306 03.12.2007 no virus found
NOD32v2 2107 03.11.2007 no virus found
Norman 5.80.02 03.10.2007 no virus found
Panda 9.0.0.4 03.12.2007 no virus found
Prevx1 V2 03.12.2007 no virus found
Sophos 4.15.0 03.10.2007 no virus found
Sunbelt 2.2.907.0 03.10.2007 no virus found
Symantec 10 03.12.2007 no virus found
TheHacker 6.1.6.074 03.12.2007 no virus found
UNA 1.83 03.11.2007 no virus found
VBA32 3.11.2 03.10.2007 no virus found
VirusBuster 4.3.19:9 03.11.2007 no virus found

Aditional Information
File size: 356928 bytes
MD5: 263998ec600afca1cc7b935c473df670
SHA1: 948ec1759459612e1a7bbbda7e8e26b16e4d1431

Damon Ridenow · 12.03.2007, 07:23

Complete scanning result of "MAINW.EXE", received in VirusTotal at 03.12.2007, 07:09:12 (CET).
Antivirus Version Update Result
AntiVir 7.3.1.41 03.11.2007 no virus found
Authentium 4.93.8 03.09.2007 no virus found
Avast 4.7.936.0 03.11.2007 no virus found
AVG 7.5.0.447 03.11.2007 no virus found
BitDefender 7.2 03.12.2007 no virus found
CAT-QuickHeal 9.00 03.10.2007 no virus found
ClamAV devel-20060426 03.12.2007 no virus found
DrWeb 4.33 03.11.2007 no virus found
eSafe 7.0.14.0 03.11.2007 no virus found
eTrust-Vet 30.6.3471 03.12.2007 no virus found
Ewido 4.0 03.11.2007 no virus found
FileAdvisor 1 03.12.2007 no virus found
Fortinet 2.85.0.0 03.12.2007 no virus found
F-Prot 4.3.1.45 03.09.2007 no virus found
F-Secure 6.70.13030.0 03.11.2007 no virus found
Ikarus T3.1.1.3 03.12.2007 no virus found
Kaspersky 4.0.2.24 03.12.2007 no virus found
McAfee 4981 03.09.2007 no virus found
Microsoft 1.2306 03.12.2007 no virus found
NOD32v2 2107 03.11.2007 no virus found
Norman 5.80.02 03.10.2007 no virus found
Panda 9.0.0.4 03.12.2007 no virus found
Prevx1 V2 03.12.2007 no virus found
Sophos 4.15.0 03.10.2007 no virus found
Sunbelt 2.2.907.0 03.10.2007 no virus found
Symantec 10 03.12.2007 no virus found
TheHacker 6.1.6.074 03.12.2007 no virus found
UNA 1.83 03.11.2007 no virus found
VBA32 3.11.2 03.10.2007 no virus found
VirusBuster 4.3.19:9 03.11.2007 no virus found

Aditional Information
File size: 352656 bytes
MD5: b709bd117838a07b65187246e72b4d74
SHA1: 25b145b6a470dcebb1d965c5010c7bbd7543e627

Blacklight schaut so aus:

03/12/07 07:06:55 [Info]: BlackLight Engine 1.0.55 initialized
03/12/07 07:06:55 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/12/07 07:06:55 [Note]: 7019 4
03/12/07 07:06:55 [Note]: 7005 0
03/12/07 07:07:00 [Note]: 7006 0
03/12/07 07:07:00 [Note]: 7011 1744
03/12/07 07:07:01 [Note]: 7026 0
03/12/07 07:07:01 [Note]: 7026 0
03/12/07 07:07:06 [Note]: FSRAW library version 1.7.1021
03/12/07 07:09:39 [Note]: 2000 1012
03/12/07 07:09:39 [Note]: 2000 1012
03/12/07 07:09:39 [Note]: 2000 1012
03/12/07 07:10:24 [Note]: 7007 0

Und zuletzt das aktuelle HijackThis File:

Logfile of HijackThis v1.99.1
Scan saved at 07:22:31, on 12.03.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Lexmark 2300 Series\ezprint.exe
C:\Programme\Office\Office\1031\msoffice.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\lxcgcoms.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\Damon\Desktop\HJT\HJT.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] !"C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] !"C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [LXCGCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCGtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [lxcgmon.exe] "C:\Programme\Lexmark 2300 Series\lxcgmon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 2300 Series\ezprint.exe"
O4 - HKLM\..\Run: [FaxCenterServer] "C:\Programme\Lexmark Fax Solutions\fm3032.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] !C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] !"C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - Global Startup: Microsoft Office Shortcut-Leiste.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\Office\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo Messenger\YahooMessenger.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - h**p://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1150019498109
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - h**p://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1173628264984
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: lxcg_device - - C:\WINDOWS\system32\lxcgcoms.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Falls noch Daten benötigt werden, steh ich gerne zur Verfügung

undoreal · 12.03.2007, 15:13

Pack die beiden in die Quarantäne von AntiVir oder benenne sie um.
Teste deinen Rechner und wenn alles läuft dann schmeiß sie runter. Das würde ich machen.. ^^ Dann nochmal scannen und Ruhe ist.

Gruss

Undoreal

12.03.2007, 15:13	#3
undoreal /// AVZ-Toolkit Guru	Desktop scam Trojan-Downloader? Pack die beiden in die Quarantäne von AntiVir oder benenne sie um. Teste deinen Rechner und wenn alles läuft dann schmeiß sie runter. Das würde ich machen.. ^^ Dann nochmal scannen und Ruhe ist. Gruss Undoreal __________________ __________________

Desktop scam Trojan-Downloader?

Plagegeister aller Art und deren Bekämpfung: Desktop scam Trojan-Downloader?