Win32.TrojanDownloader.Alphabet

videodrone00 · 24.05.2007, 11:51

hab mir diesen überaus lustigen zeitgenossen eingefangen.
öffnet ungefragt downloads bzw. ie seiten(obwohl ich firefox benutze) bzw. lädt .exe dateien runter etc.

hab ihn durch adaware entdeckt, kann zwar auf "entfernen" klicken, das ding taucht aber beim nächsten scan gleich wieder auf.
antvir hab ich durchlaufen lassen hat aber auch nichts gebracht und aktuelle update ziehen geht wegen server überlastung im mom nicht.

irgendwie scheint das ganze auch mit dieser datei-> C:\WINNT\smanager.7.exe zusammenzuhängen, diese lässt sich aber nicht löschen udn antivir findet nichts.

wär schön wenn mir jemand helfe könnte. danke.

mein hijack log.

Logfile of HijackThis v1.99.1
Scan saved at 12:36:16, on 24.5.2007
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\avp.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\System32\internat.exe
C:\WINNT\smanager.7.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINNT\avp.exe
C:\WINNT\avp.exe
C:\WINNT\avp.exe
C:\WINNT\avp.exe
C:\WINNT\avp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HijackThis\HJT.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = hxxp://www.t-online.de/service/redir/ie_suche.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://aby.spinchat.de/index
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = hxxp=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {556EA81E-2602-4C47-A557-BC4E5BCEC21D} - C:\WINNT\System32\sstts.dll
O2 - BHO: (no name) - {55DB983C-BDBF-426f-86F0-187B02DDA39B} - C:\WINNT\System32\pqdaipfj.dll (file missing)
O2 - BHO: (no name) - {B30B411E-A2DA-8F5F-D908-82ADDACD75E4} - C:\WINNT\System32\rzhlfxu.dll
O2 - BHO: (no name) - {BF2C383D-235F-4439-9332-884E119A00FD} - C:\WINNT\System32\ljjkklm.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [UVS10 Preload] C:\Programme\Ulead Systems\Ulead VideoStudio 10\uvPL.exe
O4 - HKLM\..\Run: [setup] rundll32.exe "C:\WINNT\System32\ekuholcf.dll",realset
O4 - HKLM\..\Run: [avp] C:\WINNT\avp.exe
O4 - HKLM\..\Run: [iut75] c:\winnt\system32\drivers\uzcx.exe
O4 - HKLM\..\Run: [RunOnce2Upd] "C:\WINNT\System32\KB_963493.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SManager] smanager.7.exe
O4 - HKLM\..\Run: [NI.UERSU_9999_N91S2009] "C:\WINNT\Downloaded Program Files\CONFLICT.2\UERSU_9999_N91S2009NetInstaller.exe" -nag
O4 - HKLM\..\Run: [System] C:\WINNT\System32\kernels32.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Odie] "C:\WINNT\FNTS~1\smss.exe" -vt yazb
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: ljjkklm - C:\WINNT\SYSTEM32\ljjkklm.dll
O20 - Winlogon Notify: sstts - C:\WINNT\System32\sstts.dll
O20 - Winlogon Notify: winrkp32 - winrkp32.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

**Sunny** · 24.05.2007, 14:55

Hallo und im Trojaner Board!

Das sieht auf den ersten Blick garnicht gut aus für dein System, mehrere schädliche Einträge bzw. Malware!

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINNT\smanager.7.exe
C:\WINNT\System32\sstts.dll
C:\WINNT\System32\rzhlfxu.dll
C:\WINNT\System32\ljjkklm.dll
C:\WINNT\System32\kernels32.exe
C:\WINNT\FNTS~1\smss.exe
c:\winnt\system32\drivers\uzcx.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

ComboFix

-Lade dir das Tool hier herunter -> KLICK
-Starte nun die combofix.exe, bestätige mit (Y)es, lass die Bereinigung durchlaufen
und kopiere nun den Text ab, und füge ihn in deinen Beitrag im Board ein!

MWAV (eScan) - Free Antivirus

-Lies dir folgende Anleitung genau durch und arbeite sie ab
-> Anleitung eScan
Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'.

Gruß
Sunny

videodrone00 · 24.05.2007, 19:21

erst mal danke für die hilfe!

hab virustotal durchlaufen lassen, findet jedoch die beiden letzen dateien nicht(hab versteckte dateien anzeigen lassen beachtet) für die restlichen dateien die auswertungen:

Complete scanning result of "smanager.7.exe", received in VirusTotal at 05.24.2007, 16:14:41 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.5.24.0 05.23.2007 no virus found
AntiVir 7.4.0.27 05.24.2007 TR/Dldr.Alphabet.11264.17
Authentium 4.93.8 05.23.2007 no virus found
Avast 4.7.997.0 05.24.2007 Win32:Alphabet
AVG 7.5.0.467 05.23.2007 Downloader.Generic4.RZY
BitDefender 7.2 05.24.2007 no virus found
CAT-QuickHeal 9.00 05.24.2007 (Suspicious) - DNAScan
ClamAV devel-20070416 05.24.2007 no virus found
DrWeb 4.33 05.24.2007 no virus found
eSafe 7.0.15.0 05.24.2007 Win32.Alphabet.gen
eTrust-Vet 30.7.3660 05.24.2007 no virus found
Ewido 4.0 05.24.2007 Downloader.Alphabet
FileAdvisor 1 05.24.2007 No threat detected
Fortinet 2.85.0.0 05.24.2007 no virus found
F-Prot 4.3.2.48 05.23.2007 no virus found
F-Secure 6.70.13030.0 05.24.2007 Trojan-Downloader.Win32.Alphabet.gen
Ikarus T3.1.1.8 05.24.2007 Trojan-Downloader.Win32.Alphabet
Kaspersky 4.0.2.24 05.24.2007 Trojan-Downloader.Win32.Alphabet.gen
McAfee 5037 05.23.2007 no virus found
Microsoft 1.2503 05.22.2007 no virus found
NOD32v2 2289 05.24.2007 a variant of Win32/TrojanClicker.Agent.NBS
Norman 5.80.02 05.24.2007 W32/DLoader.CUZP
Panda 9.0.0.4 05.24.2007 Trj/Clicker.ZF
Prevx1 V2 05.24.2007 Trojan.Nudos
Sophos 4.17.0 05.23.2007 no virus found
Sunbelt 2.2.907.0 05.24.2007 VIPRE.Suspicious
Symantec 10 05.24.2007 Downloader
TheHacker 6.1.6.121 05.23.2007 no virus found
VBA32 3.12.0 05.23.2007 no virus found
VirusBuster 4.3.23:9 05.23.2007 no virus found
Webwasher-Gateway 6.0.1 05.24.2007 Trojan.Dldr.Alphabet.11264.17
Aditional Information
File size: 11264 bytes
MD5: 94dac882c05afc623ac9a01f674d3ff0
SHA1: 45dc4d11f9b05e79d473752bb883d6b4aec1c88c
packers: PECompact
packers: PECOMPACT
Bit9 info: Bit9 FileAdvisor - Search Results
packers: embedded, PecBundle, PECompact
Prevx info: SMANAGER.7.EXE Spyware Remove
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Complete scanning result of "sstts.dll", received in VirusTotal at 05.24.2007, 16:28:11 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.5.24.0 05.23.2007 no virus found
AntiVir 7.4.0.27 05.24.2007 ADSPY/Virtumon.v.17
Authentium 4.93.8 05.23.2007 no virus found
Avast 4.7.997.0 05.24.2007 no virus found
AVG 7.5.0.467 05.23.2007 Adware Generic2.CHR
BitDefender 7.2 05.24.2007 no virus found
CAT-QuickHeal 9.00 05.24.2007 no virus found
ClamAV devel-20070416 05.24.2007 no virus found
DrWeb 4.33 05.24.2007 no virus found
eSafe 7.0.15.0 05.24.2007 Suspicious Trojan/Worm
eTrust-Vet 30.7.3660 05.24.2007 no virus found
Ewido 4.0 05.24.2007 no virus found
FileAdvisor 1 05.24.2007 no virus found
Fortinet 2.85.0.0 05.24.2007 no virus found
F-Prot 4.3.2.48 05.23.2007 no virus found
F-Secure 6.70.13030.0 05.24.2007 no virus found
Ikarus T3.1.1.8 05.24.2007 not-a-virus:AdWare.Win32.Virtumonde.fp
Kaspersky 4.0.2.24 05.24.2007 not-a-virus:AdWare.Win32.Virtumonde.fp
McAfee 5037 05.23.2007 no virus found
Microsoft 1.2503 05.22.2007 no virus found
NOD32v2 2289 05.24.2007 no virus found
Norman 5.80.02 05.24.2007 no virus found
Panda 9.0.0.4 05.24.2007 Suspicious file
Prevx1 V2 05.24.2007 no virus found
Sophos 4.17.0 05.23.2007 no virus found
Sunbelt 2.2.907.0 05.24.2007 VIPRE.Suspicious
Symantec 10 05.24.2007 no virus found
TheHacker 6.1.6.121 05.23.2007 no virus found
VBA32 3.12.0 05.23.2007 no virus found
VirusBuster 4.3.23:9 05.24.2007 Adware.Vundo.Gen!Pac.11
Webwasher-Gateway 6.0.1 05.24.2007 Ad-Spyware.Virtumon.v.17
Aditional Information
File size: 262708 bytes
MD5: 17dc6b8fe4d8b259a4f0167eb4b5ce44
SHA1: 7d3fe5141e0c359f720b1c0b1bccecebff177c88
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Complete scanning result of "rzhlfxu.dll", received in VirusTotal at 05.24.2007, 16:39:05 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.5.24.0 05.23.2007 no virus found
AntiVir 7.4.0.27 05.24.2007 ADSPY/PurityScan.AK.174
Authentium 4.93.8 05.23.2007 no virus found
Avast 4.7.997.0 05.24.2007 Win32:Agent-RY
AVG 7.5.0.467 05.23.2007 no virus found
BitDefender 7.2 05.24.2007 no virus found
CAT-QuickHeal 9.00 05.24.2007 no virus found
ClamAV devel-20070416 05.24.2007 no virus found
DrWeb 4.33 05.24.2007 no virus found
eSafe 7.0.15.0 05.24.2007 Spyware.Purityscan
eTrust-Vet 30.7.3660 05.24.2007 no virus found
Ewido 4.0 05.24.2007 Adware.PurityScan
FileAdvisor 1 05.24.2007 No threat detected
Fortinet 2.85.0.0 05.24.2007 Adware/Purityscan
F-Prot 4.3.2.48 05.23.2007 no virus found
F-Secure 6.70.13030.0 05.24.2007 no virus found
Ikarus T3.1.1.8 05.24.2007 not-a-virus:AdWare.Win32.PurityScan.ak
Kaspersky 4.0.2.24 05.24.2007 not-a-virus:AdWare.Win32.PurityScan.ak
McAfee 5037 05.23.2007 no virus found
Microsoft 1.2503 05.22.2007 no virus found
NOD32v2 2289 05.24.2007 probably a variant of Win32/Adware.PurityScan
Norman 5.80.02 05.24.2007 W32/PurityScan.dam
Panda 9.0.0.4 05.24.2007 Suspicious file
Prevx1 V2 05.24.2007 Trojan.NDrv
Sophos 4.17.0 05.23.2007 ClickSpring
Sunbelt 2.2.907.0 05.24.2007 VIPRE.Suspicious
Symantec 10 05.24.2007 Adware.Purityscan
TheHacker 6.1.6.121 05.23.2007 no virus found
VBA32 3.12.0 05.23.2007 AdWare.Win32.PurityScan.ak
VirusBuster 4.3.23:9 05.24.2007 no virus found
Webwasher-Gateway 6.0.1 05.24.2007 Ad-Spyware.PurityScan.AK.174
Aditional Information
File size: 60928 bytes
MD5: 58a29a9dce5d1abc28943567f080245a
SHA1: 0de465208dd61ace144b6d02a9866008dd6c9eb2
packers: PECompact
packers: PECOMPACT
Bit9 info: Bit9 FileAdvisor - Search Results
packers: PecBundle, PECompact
Prevx info: NDRV.DLL Spyware Remove
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.
Complete scanning result of "ljjkklm.dll", received in VirusTotal at 05.24.2007, 17:07:35 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.5.24.0 05.23.2007 no virus found
AntiVir 7.4.0.27 05.24.2007 ADSPY/Virtumonde.JP.64
Authentium 4.93.8 05.23.2007 no virus found
Avast 4.7.997.0 05.24.2007 no virus found
AVG 7.5.0.467 05.23.2007 Lop.CB
BitDefender 7.2 05.24.2007 Trojan.Peed.Gen
CAT-QuickHeal 9.00 05.24.2007 no virus found
ClamAV devel-20070416 05.24.2007 no virus found
DrWeb 4.33 05.24.2007 no virus found
eSafe 7.0.15.0 05.24.2007 Suspicious Trojan/Worm
eTrust-Vet 30.7.3660 05.24.2007 no virus found
Ewido 4.0 05.24.2007 no virus found
FileAdvisor 1 05.24.2007 no virus found
Fortinet 2.85.0.0 05.24.2007 no virus found
F-Prot 4.3.2.48 05.23.2007 no virus found
F-Secure 6.70.13030.0 05.24.2007 no virus found
Ikarus T3.1.1.8 05.24.2007 Backdoor.Win32.Prorat.19.i
Kaspersky 4.0.2.24 05.24.2007 not-a-virus:AdWare.Win32.Virtumonde.jp
McAfee 5037 05.23.2007 no virus found
Microsoft 1.2503 05.22.2007 no virus found
NOD32v2 2290 05.24.2007 no virus found
Norman 5.80.02 05.24.2007 no virus found
Panda 9.0.0.4 05.24.2007 Suspicious file
Prevx1 V2 05.24.2007 SpywareQuake
Sophos 4.17.0 05.23.2007 no virus found
Sunbelt 2.2.907.0 05.24.2007 VIPRE.Suspicious
Symantec 10 05.24.2007 no virus found
TheHacker 6.1.6.121 05.23.2007 no virus found
VBA32 3.12.0 05.23.2007 no virus found
VirusBuster 4.3.23:9 05.24.2007 Adware.Vundo.Gen!Pac.13
Webwasher-Gateway 6.0.1 05.24.2007 Ad-Spyware.Virtumonde.JP.64
Aditional Information
File size: 29206 bytes
MD5: 1b9bad7a381541c6fb40d932af748ef7
SHA1: f5a9fab8d733a9c4f6b125e6d411cb40473c48f2
Prevx info: XXYYXXV.DLL Spyware Remove
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

Complete scanning result of "kernels32.exe", received in VirusTotal at 05.24.2007, 17:29:21 (CET).
Antivirus Version Update Result
AhnLab-V3 2007.5.24.0 05.23.2007 no virus found
AntiVir 7.4.0.27 05.24.2007 WORM/Zhelatin.Gen
Authentium 4.93.8 05.23.2007 no virus found
Avast 4.7.997.0 05.24.2007 no virus found
AVG 7.5.0.467 05.23.2007 no virus found
BitDefender 7.2 05.24.2007 GenPack:Generic.Malware.SYdld!.CCA51B58
CAT-QuickHeal 9.00 05.24.2007 no virus found
ClamAV devel-20070416 05.24.2007 no virus found
DrWeb 4.33 05.24.2007 no virus found
eSafe 7.0.15.0 05.24.2007 Suspicious Trojan/Worm
eTrust-Vet 30.7.3660 05.24.2007 no virus found
Ewido 4.0 05.24.2007 no virus found
FileAdvisor 1 05.24.2007 no virus found
Fortinet 2.85.0.0 05.24.2007 suspicious
F-Prot 4.3.2.48 05.23.2007 no virus found
F-Secure 6.70.13030.0 05.24.2007 no virus found
Ikarus T3.1.1.8 05.24.2007 no virus found
Kaspersky 4.0.2.24 05.24.2007 Email-Worm.Win32.Zhelatin.ef
McAfee 5037 05.23.2007 no virus found
Microsoft 1.2503 05.22.2007 no virus found
NOD32v2 2290 05.24.2007 no virus found
Norman 5.80.02 05.24.2007 no virus found
Panda 9.0.0.4 05.24.2007 no virus found
Prevx1 V2 05.24.2007 no virus found
Sophos 4.17.0 05.23.2007 no virus found
Sunbelt 2.2.907.0 05.24.2007 VIPRE.Suspicious
Symantec 10 05.24.2007 no virus found
TheHacker 6.1.6.121 05.23.2007 no virus found
VBA32 3.12.0 05.23.2007 no virus found
VirusBuster 4.3.23:9 05.24.2007 no virus found
Webwasher-Gateway 6.0.1 05.24.2007 Worm.Zhelatin.Gen
Aditional Information
File size: 11253 bytes
MD5: 52905a3a6466a917bdb859fe8c7a33fd
SHA1: 0d129510a3214c2685a71cb1ea6310f9f75c7b2c
Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.

das log von combofix:

"blah" - 2007-05-24 17:57:11 Service Pack 3
ComboFix 07-05.24.7.V - Running from: "C:\Dokumente und Einstellungen\blah\Desktop\"

/wow section - STAGE #3

(((((((((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))

C:\WINNT\system32\vtsqo.dll
C:\WINNT\system32\ekuholcf.dll
C:\WINNT\system32\oqstv.ini
C:\WINNT\system32\sttss.tmp
C:\WINNT\system32\sttss.bak1
C:\WINNT\system32\sttss.bak2
C:\WINNT\system32\sttss.ini2
C:\WINNT\system32\fclohuke.ini
C:\WINNT\system32\sttss.tmp
C:\WINNT\system32\sttss.bak1
C:\WINNT\system32\sttss.bak2
C:\WINNT\system32\sttss.ini2
C:\WINNT\system32\sttss.tmp
C:\WINNT\system32\sttss.bak1
C:\WINNT\system32\sttss.bak2
C:\WINNT\system32\sttss.ini2
(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

"C:\Programme\outerinfo\Terms.rtf"
"C:\Programme\install.log"
"C:\install.log"
"C:\Programme\outerinfo"

Purity Folders:

C:\WINNT\FNTS~1

((((((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

-------\LEGACY_IPRIP
-------\Iprip
-------\RpcApi

((((((((((((((((((((((((((((((( Files Created from 2007-04-05 to 2007-05-24 ))))))))))))))))))))))))))))))))))

(((((((((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))

C:\WINNT\system32\vtsqo.dll
C:\WINNT\system32\ekuholcf.dll
C:\WINNT\system32\oqstv.ini
C:\WINNT\system32\sttss.tmp
C:\WINNT\system32\sttss.bak1
C:\WINNT\system32\sttss.bak2
C:\WINNT\system32\sttss.ini2
C:\WINNT\system32\fclohuke.ini
C:\WINNT\system32\sttss.tmp
C:\WINNT\system32\sttss.bak1
C:\WINNT\system32\sttss.bak2
C:\WINNT\system32\sttss.ini2
C:\WINNT\system32\sttss.tmp
C:\WINNT\system32\sttss.bak1
C:\WINNT\system32\sttss.bak2
C:\WINNT\system32\sttss.ini2
C:\WINNT\system32\sstts.dll
C:\WINNT\system32\ljjkklm.dll

* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

"C:\Programme\outerinfo\Terms.rtf"
"C:\Programme\install.log"
"C:\install.log"
"C:\Programme\outerinfo"

Purity Folders:

C:\WINNT\FNTS~1

((((((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

-------\LEGACY_IPRIP
-------\Iprip
-------\RpcApi

((((((((((((((((((((((((((((((( Files Created from 2007-04-05 to 2007-05-24 ))))))))))))))))))))))))))))))))))

2007-05-24 11:44 <DIR> d-------- C:\Programme\CCleaner
2007-05-24 11:02 11,264 --------- C:\WINNT\smanager.7.exe
2007-05-24 11:02 11,264 --------- C:\WINNT\smanager.7.exe
2007-05-23 23:08 <DIR> d-------- C:\Programme\ErrorSafe Free
2007-05-23 18:30 1,645,320 --a------ C:\WINNT\system\gdiplus.dll
2007-05-23 18:29 1,645,320 --a------ C:\WINNT\system32\gdiplus.dll
2007-05-23 18:29 1,645,320 --a------ C:\WINNT\system32\gdiplus.dll
2007-05-23 18:29 1,645,320 --a------ C:\WINNT\gdiplus.dll
2007-05-23 18:29 1,645,320 --a------ C:\WINNT\gdiplus.dll
2007-05-23 17:08 43,584 --a------ C:\WINNT\system32\drivers\avipbb.sys
2007-05-23 17:08 43,584 --a------ C:\WINNT\system32\drivers\avipbb.sys
2007-05-23 17:08 28,352 --a------ C:\WINNT\system32\drivers\ssmdrv.sys
2007-05-23 17:08 28,352 --a------ C:\WINNT\system32\drivers\ssmdrv.sys
2007-05-23 17:08 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic
2007-05-23 16:43 <DIR> d-------- C:\FOUND.000
2007-05-23 16:43 <DIR> d-------- C:\FOUND.000
2007-05-23 14:53 5,120 --a------ C:\WINNT\drv.sys
2007-05-23 14:53 5,120 --a------ C:\WINNT\drv.sys
2007-05-23 14:35 18,944 --------- C:\WINNT\avp.exe
2007-05-23 14:35 18,944 --------- C:\WINNT\avp.exe
2007-05-23 14:21 22,528 --a------ C:\DOKUME~1\blah\tm.exe
2007-05-23 14:15 <DIR> d-------- C:\WINNT\system32\ActiveScan
2007-05-23 14:15 <DIR> d-------- C:\WINNT\system32\ActiveScan
2007-05-23 14:11 60,928 --a------ C:\WINNT\system32\rzhlfxu.dll
2007-05-23 14:11 60,928 --a------ C:\WINNT\system32\rzhlfxu.dll
2007-05-23 14:11 2 --a------ C:\WINNT\system32\wtssvsu32.exe
2007-05-23 14:11 2 --a------ C:\WINNT\system32\wtssvsu32.exe
2007-05-23 14:10 10,240 --a------ C:\WINNT\system32\klikalka.exe
2007-05-23 14:10 10,240 --a------ C:\WINNT\system32\klikalka.exe

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-05-24 11:44 <DIR> d-------- C:\Programme\CCleaner
2007-05-23 23:08 <DIR> d-------- C:\Programme\ErrorSafe Free
2007-05-23 17:08 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\AntiVir PersonalEdition Classic
2007-05-23 14:21 22,528 --a------ C:\DOKUME~1\blah\tm.exe

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-05-24 09:02:16 11,264 ------w C:\WINNT\smanager.7.exe
2007-05-23 18:24:46 18,944 ------w C:\WINNT\avp.exe
2007-05-23 14:25:14 10,240 ----a-w C:\WINNT\system32\klikalka.exe
2007-05-23 14:13:02 5,120 ----a-w C:\WINNT\drv.sys
2007-05-23 12:11:38 2 ----a-w C:\WINNT\system32\wtssvsu32.exe
2007-05-21 13:59:50 60,928 ----a-w C:\WINNT\system32\rzhlfxu.dll
2007-04-01 14:01:00 -------- d-----w C:\Programme\FLVPlayer
2007-03-20 07:55:40 43,584 ----a-w C:\WINNT\system32\drivers\avipbb.sys
2007-03-15 15:41:36 -------- d-----w C:\DOKUME~1\blah\ANWEND~1\RecordPad
2007-03-15 15:41:16 -------- d-----w C:\DOKUME~1\blah\ANWEND~1\NCH Swift Sound
2007-03-15 15:40:54 -------- d-----w C:\Programme\NCH Swift Sound
2007-03-10 13:47:26 -------- d-----w C:\Programme\MissionRisk
2007-03-10 13:47:18 249,856 ------w C:\WINNT\Setup1.exe
2007-03-10 13:47:14 73,216 ----a-w C:\WINNT\ST6UNST.EXE

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx [01-04-16 15:39 ]
{B30B411E-A2DA-8F5F-D908-82ADDACD75E4}=C:\WINNT\System32\rzhlfxu.dll [07-05-21 15:59 ]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Synchronization Manager"="mobsync.exe" [99-12-10 12:00 C:\WINNT\system32\mobsync.exe]
"NvCplDaemon"="C:\WINNT\System32\NvCpl.dll" [05-12-10 03:06 ]
"nwiz"="nwiz.exe" [05-12-10 03:06 C:\WINNT\system32\nwiz.exe]
"Cmaudio"="cmicnfg.cpl" []
"NeroCheck"="C:\WINNT\system32\NeroCheck.exe" [01-07-09 11:50 ]
"Mirabilis ICQ"="C:\PROGRA~1\ICQ\ICQNet.exe" [03-10-14 18:36 ]
"NvMediaCenter"="C:\WINNT\System32\NvMcTray.dll" [05-12-10 03:06 ]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [06-03-26 20:11 ]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [05-12-10 16:57 ]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [06-06-02 22:21 ]
"UVS10 Preload"="C:\Programme\Ulead Systems\Ulead VideoStudio 10\uvPL.exe" [06-05-17 14:23 ]
"avp"="C:\WINNT\avp.exe" [07-05-23 20:24 ]
"iut75"="c:\winnt\system32\drivers\uzcx.exe" []
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [07-04-02 10:35 ]
"SManager"="smanager.7.exe" []
"NI.UERSU_9999_N91S2009"="C:\WINNT\Downloaded Program Files\CONFLICT.2\UERSU_9999_N91S2009NetInstaller.exe" [06-09-27 19:40 ]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"internat.exe"="internat.exe" [99-12-10 12:00 C:\WINNT\system32\internat.exe]
"Odie"="C:\WINNT\FNTS~1\smss.exe" []

[HKEY_USERS\.default\software\microsoft\windows\currentversion\runonce]
"^SetupICWDesktop"=C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]
"internat.exe"=internat.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winrkp32]
winrkp32.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Security Packages kerberos msv1_0 schannel

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
wugroup wuauserv
BITSgroup BITS

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost *netsvcs*
WmdmPmSN

********************************************************************

catchme 0.3.681 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-05-24 18:08:12
Windows 5.0.2195 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

disk error: C:\WINNT\

please note that you need administrator rights to perform deep scan

********************************************************************

Completion time: 2007-05-24 18:09:08 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 07-05-24 18:09

--- E O F ---

bei MWAV hab ich probleme, es scannt zwar bleibt dann jedoch irgendwann stehen und der rechner rechnet vor sich hin, nach einer halben stunde stillstand abgebrochen. noch paar mal versucht mit dem selben ergebniss. die find.bat zeigte als erstes an das sie die eingestellte sie sprache nicht finden kann(hab aber deutsch eingestellt), dannach nur noch das der ordner /bases_x schon besteht...hab aber das protokoll bis zum hängen gespeichert, nutzt das was?

videodrone00 · 24.05.2007, 22:32

interessant...irgendwie scheint der trojaner weg zu sein(oder zumindest das meiste davon)..hijack this schreibt nun dies:

Logfile of HijackThis v1.99.1
Scan saved at 23:29:58, on 24.5.2007
Platform: Windows 2000 SP3 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\SYSTEM32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\hidserv.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\System32\internat.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HijackThis\HJT.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://aby.spinchat.de/index
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = hxxp=www-proxy.t-online.de:80;ftp=ftp-proxy.t-online.de:80
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.t-online.de;localhost;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {B30B411E-A2DA-8F5F-D908-82ADDACD75E4} - C:\WINNT\System32\rzhlfxu.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [UVS10 Preload] C:\Programme\Ulead Systems\Ulead VideoStudio 10\uvPL.exe
O4 - HKLM\..\Run: [avp] C:\WINNT\avp.exe
O4 - HKLM\..\Run: [iut75] c:\winnt\system32\drivers\uzcx.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SManager] smanager.7.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Odie] "C:\WINNT\FNTS~1\smss.exe" -vt yazb
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O14 - IERESET.INF: START_PAGE_URL=http://www.t-online.de/service/redir/ie_t-online.htm
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

Win32.TrojanDownloader.Alphabet

Plagegeister aller Art und deren Bekämpfung: Win32.TrojanDownloader.Alphabet