Win32/Haxdoor -> Was soll ich tun?

Kitty.Kat · 16.08.2007, 17:20

Hallo erstmal..

bin neu hier, also haut mich bitte ned wenn ich irgendetwas falsch mache oder so..

ich hab grade eben aus "langeweile" das Windows Tool zum entfernen bösartiger Software durchlaufen lassen.. es wurde mir zwar angezeigt, dass keine bösartige Software gefunden wurde, doch im Bericht hab ich die Datei Win32/Haxdoor gefunden. der name hat mich n bissl stutzig gemacht & deshalb hab ich danach gegooglt und herausgefunden, dass das ein Trojaner is.. jetzt würd ich gerne wissen wie ich diesen entfernen kann bzw. was er alles macht & so.. im moment funktioniert mein PC noch einwandfrei, ich hab keine veränderungen bemerkt..

danke schonmal für eure antworten

Kitty.Kat

Gerd_R · 16.08.2007, 18:29

Hallo kitty.kat,

verrate usn doch bitte mal was mehr über dein System

- hast du ein Antiviren-Programm am laufen, wenn ja welches
- in welcher Datei wurde den der event. Virus gefunden
- stelle doch bitte mal ein hijackthis-Protokoll hier ein, beachte aber die Anleitung dazu

Kitty.Kat · 16.08.2007, 18:50

Hallo,

danke erstmal für deine schnelle Antwort.

- hast du ein Antiviren-Programm am laufen, wenn ja welches
ich benutze "avast! 4.7 home edition"
- in welcher Datei wurde den der event. Virus gefunden
das weiß ich leider nicht

da ich über "windows tool zum entfernen bösartiger software" davon erfahren und mich dann über google informiert habe
- stelle doch bitte mal ein hijackthis-Protokoll hier ein
poste ich mitrein, hoffentlich habe ich alles richtig gemacht in der anwendung (habe die anleitung beachtet)

LG Kitty.Kat

EDiT: falls es dir weiterhilft, ich benutze firefox, version 2.0.0.6

-------------------------------------------------

Logfile of HijackThis v1.99.1
Scan saved at 19:43:06, on 16.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\drivers\STDSB.exe
C:\WINDOWS\system32\drivers\Icon.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Lexmark 4300 Series\ezprint.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\slmdmsr.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\lxcecoms.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\***\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [STDSB] C:\WINDOWS\system32\drivers\STDSB.exe
O4 - HKLM\..\Run: [Icon] C:\WINDOWS\system32\drivers\Icon.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [lxcemon.exe] "C:\Programme\Lexmark 4300 Series\lxcemon.exe"
O4 - HKLM\..\Run: [EzPrint] "C:\Programme\Lexmark 4300 Series\ezprint.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [LXCECATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: lxce_device - Lexmark International, Inc. - C:\WINDOWS\system32\lxcecoms.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slmdmsr.exe

BataAlexander · 16.08.2007, 19:27

Checke diese beiden Dateien bei VirusTotal - Free Online Virus and Malware Scan

C:\WINDOWS\system32\drivers\STDSB.exe
C:\WINDOWS\system32\drivers\Icon.exe

und poste das Ergebnis hier.

Bata

Kitty.Kat · 16.08.2007, 19:49

hallo,

danke erstmal für deine antwort

(ich finds nett das einem hier so schnell geholfen wird +schleim schleim+

)

hier die ergebnisse, hoffe ich habs richtig gemacht (sorry, mache sowas zum ersten mal):

C:\WINDOWS\system32\drivers\STDSB.exe

AhnLab-V3 2007.8.15.0 2007.08.16 -
AntiVir 7.4.1.62 2007.08.16 -
Authentium 4.93.8 2007.08.16 -
Avast 4.7.1029.0 2007.08.15 -
AVG 7.5.0.476 2007.08.16 -
BitDefender 7.2 2007.08.16 -
CAT-QuickHeal 9.00 2007.08.16 -
ClamAV 0.91 2007.08.16 -
DrWeb 4.33 2007.08.16 -
eSafe 7.0.15.0 2007.08.16 -
eTrust-Vet 31.1.5064 2007.08.16 -
Ewido 4.0 2007.08.16 -
FileAdvisor 1 2007.08.16 -
Fortinet 2.91.0.0 2007.08.16 -
F-Prot 4.3.2.48 2007.08.16 -
F-Secure 6.70.13030.0 2007.08.16 -
Ikarus T3.1.1.12 2007.08.16 -
Kaspersky 4.0.2.24 2007.08.16 -
McAfee 5098 2007.08.15 -
Microsoft 1.2803 2007.08.16 -
NOD32v2 2466 2007.08.16 -
Norman 5.80.02 2007.08.16 -
Panda 9.0.0.4 2007.08.16 -
Prevx1 V2 2007.08.16 -
Rising 19.36.32.00 2007.08.16 -
Sophos 4.20.0 2007.08.12 -
Sunbelt 2.2.907.0 2007.08.16 -
Symantec 10 2007.08.16 -
TheHacker 6.1.8.170 2007.08.15 -
VBA32 3.12.2.2 2007.08.16 -
VirusBuster 4.3.26:9 2007.08.16 -
Webwasher-Gateway 6.0.1 2007.08.16 -

File size: 28672 bytes
MD5: 6b85d1e809a56cc2a8fd0243d5245a27
SHA1: 429946539547bd96d342d828b8a85598861ce52a

Ergebnis: 0/32 (0%)

-----------------------------------

C:\WINDOWS\system32\drivers\Icon.exe

AhnLab-V3 2007.8.15.0 2007.08.16 -
AntiVir 7.4.1.62 2007.08.16 -
Authentium 4.93.8 2007.08.16 -
Avast 4.7.1029.0 2007.08.15 -
AVG 7.5.0.476 2007.08.16 -
BitDefender 7.2 2007.08.16 -
CAT-QuickHeal 9.00 2007.08.16 -
ClamAV 0.91 2007.08.16 -
DrWeb 4.33 2007.08.16 -
eSafe 7.0.15.0 2007.08.16 -
eTrust-Vet 31.1.5064 2007.08.16 -
Ewido 4.0 2007.08.16 -
FileAdvisor 1 2007.08.16 -
Fortinet 2.91.0.0 2007.08.16 -
F-Prot 4.3.2.48 2007.08.16 -
F-Secure 6.70.13030.0 2007.08.16 -
Ikarus T3.1.1.12 2007.08.16 -
Kaspersky 4.0.2.24 2007.08.16 -
McAfee 5098 2007.08.15 -
Microsoft 1.2803 2007.08.16 -
NOD32v2 2466 2007.08.16 -
Norman 5.80.02 2007.08.16 -
Panda 9.0.0.4 2007.08.16 -
Prevx1 V2 2007.08.16 -
Rising 19.36.32.00 2007.08.16 -
Sophos 4.20.0 2007.08.12 -
Sunbelt 2.2.907.0 2007.08.16 -
Symantec 10 2007.08.16 -
TheHacker 6.1.8.170 2007.08.15 -
VBA32 3.12.2.2 2007.08.16 -
VirusBuster 4.3.26:9 2007.08.16 -
Webwasher-Gateway 6.0.1 2007.08.16 -

File size: 221184 bytes
MD5: 851ff453f9f892ff532770ddccd2b422
SHA1: 72a4c7cdb89a265238c0b71f96deaa5f4e002a7b

Ergebnis: 0/32 (0%)

---------
wenn ich mal fragen darf: ist mein system sonst ok?

BataAlexander · 16.08.2007, 20:17

Lade Dir combofix.

Zitat:

** schliesse alle Programme und Anwendungen
** Lade combofix
** doppelklick: combofix.exe

** schreibe "Y"
** warte die Datenträgerbereinigung ab

mit der rechten Maustaste den Text markieren -> kopieren -> -> einfügen

Bata

Kitty.Kat · 16.08.2007, 20:34

ComboFix 07-08-14.4 - "***" 2007-08-16 21:29:36.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.197 [GMT 2:00]

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\WINDOWS\system32\drivers\Icon.exe

((((((((((((((((((((((((( Files Created from 2007-07-16 to 2007-08-16 )))))))))))))))))))))))))))))))

2007-08-16 21:28 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-14 22:33 <DIR> d-------- C:\DOKUME~1\***\ANWEND~1\WinRAR
2007-08-11 19:48 <DIR> d-------- C:\Programme\ICQLite
2007-08-11 19:48 <DIR> d-------- C:\Program Files
2007-08-11 19:48 <DIR> d-------- C:\DOKUME~1\***\ANWEND~1\ICQLite
2007-08-09 15:25 <DIR> d-------- C:\WINDOWS\system32\appmgmt
2007-08-09 15:25 <DIR> d-------- C:\DOKUME~1\***\ANWEND~1\Leadertech
2007-08-09 15:05 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2007-08-09 14:48 <DIR> d-------- C:\Programme\MSXML 4.0
2007-08-09 00:54 <DIR> d-------- C:\Programme\Cell Phone Manager
2007-08-08 22:42 679,936 --a------ C:\WINDOWS\system32\fun_mp4_enc.dll
2007-08-08 22:42 61,440 --a------ C:\WINDOWS\system32\mp4_vcodec.dll
2007-08-08 22:42 2,067,140 -ra------ C:\WINDOWS\system32\avcodec.dll
2007-08-08 22:42 <DIR> d-------- C:\WINDOWS\system32\Samsung PC Studio Codecs
2007-08-08 22:41 94,000 --a------ C:\WINDOWS\system32\drivers\ssm_mdm.sys
2007-08-08 22:41 8,336 --a------ C:\WINDOWS\system32\drivers\ssm_mdfl.sys
2007-08-08 22:41 6,176 --a------ C:\WINDOWS\system32\drivers\ssm_cmnt.sys
2007-08-08 22:41 6,176 --a------ C:\WINDOWS\system32\drivers\ssm_cm.sys
2007-08-08 22:41 58,320 --a------ C:\WINDOWS\system32\drivers\ssm_bus.sys
2007-08-08 22:41 5,840 --a------ C:\WINDOWS\system32\drivers\ssm_whnt.sys
2007-08-08 22:41 5,840 --a------ C:\WINDOWS\system32\drivers\ssm_wh.sys
2007-08-08 22:41 <DIR> d-------- C:\WINDOWS\system32\Samsung_USB_Drivers
2007-08-05 17:04 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Windows Genuine Advantage
2007-08-04 19:44 <DIR> d-------- C:\Programme\Windows Media Connect 2
2007-08-04 19:41 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2007-08-04 19:41 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF
2007-07-31 23:47 6,550 --a------ C:\WINDOWS\jautoexp.dat
2007-07-31 23:47 46,352 --a------ C:\WINDOWS\setdebug.exe
2007-07-31 23:47 139,536 --a------ C:\WINDOWS\system32\javaee.dll
2007-07-31 23:47 113 --a------ C:\WINDOWS\system32\zonedon.reg
2007-07-31 23:47 113 --a------ C:\WINDOWS\system32\zonedoff.reg
2007-07-30 17:52 <DIR> d-------- C:\Programme\QuickTime
2007-07-30 17:52 <DIR> d-------- C:\DOKUME~1\ALLUSE~1\ANWEND~1\Apple Computer
2007-07-29 13:54 <DIR> d---s---- C:\DOKUME~1\***\UserData
2007-07-24 13:11 <DIR> d-------- C:\Programme\Bluefish Games
2007-07-22 22:26 344,064 --a------ C:\WINDOWS\system32\msvcr70.dll
2007-07-22 22:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\DVDVIDEOSOFT
2007-07-22 22:26 <DIR> d-------- C:\Programme\DVDVIDEOSOFT
2007-07-22 12:55 <DIR> d-------- C:\DOKUME~1\***\ANWEND~1\Jasc
2007-07-16 17:00 <DIR> d-------- C:\WINDOWS\ShellNew
2007-07-16 16:59 <DIR> d-------- C:\DOKUME~1\***\ANWEND~1\Microsoft Web Folders

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-08-16 19:34 --------- d-------- C:\Programme\Lx_cats
2007-08-12 12:02 --------- d--h----- C:\Programme\InstallShield Installation Information
2007-08-11 17:51 --------- d-------- C:\Programme\SAMSUNG
2007-08-09 00:10 --------- d-------- C:\DOKUME~1\***\ANWEND~1\Mobile Master
2007-07-28 00:07 783224 --a------ C:\WINDOWS\system32\aswBoot.exe
2007-07-28 00:02 94416 --a------ C:\WINDOWS\system32\drivers\aswmon2.sys
2007-07-28 00:02 92848 --a------ C:\WINDOWS\system32\drivers\aswmon.sys
2007-07-28 00:00 23152 --a------ C:\WINDOWS\system32\drivers\aswRdr.sys
2007-07-27 23:59 42912 --a------ C:\WINDOWS\system32\drivers\aswTdi.sys
2007-07-27 23:58 26624 --a------ C:\WINDOWS\system32\drivers\aavmker4.sys
2007-07-27 23:57 95608 --a------ C:\WINDOWS\system32\AvastSS.scr
2007-07-25 17:02 --------- d-------- C:\Programme\Creative
2007-07-22 19:11 --------- d-------- C:\Programme\Movie Maker
2007-07-22 19:11 --------- d-------- C:\Programme\Mobile Master
2007-07-22 19:11 --------- d-------- C:\Programme\Messenger
2007-07-22 19:11 --------- d-------- C:\Programme\Abbyy FineReader 6.0 Sprint
2007-07-16 16:59 --------- d-------- C:\Programme\microsoft frontpage
2007-07-06 13:43 --------- d-------- C:\Programme\ICQ6
2007-06-26 16:09 664576 -----c--- C:\WINDOWS\system32\dllcache\wininet.dll
2007-06-26 15:55 851968 -----c--- C:\WINDOWS\system32\dllcache\vgx.dll
2007-06-26 08:08 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-26 08:08 1104896 -----c--- C:\WINDOWS\system32\dllcache\msxml3.dll
2007-06-24 00:40 --------- d-------- C:\Programme\Lexmark 4300 Series
2007-06-24 00:40 --------- d-------- C:\DOKUME~1\***\ANWEND~1\Help
2007-06-22 17:14 --------- d-------- C:\DOKUME~1\***\ANWEND~1\Real
2007-06-22 17:12 --------- d-------- C:\Programme\Gemeinsame Dateien\xing shared
2007-06-22 17:12 --------- d-------- C:\Programme\Gemeinsame Dateien\Real
2007-06-22 17:11 --------- d-------- C:\Programme\Real
2007-06-22 16:12 --------- d-------- C:\Programme\Jasc Software Inc
2007-06-22 16:12 --------- d-------- C:\Programme\Gemeinsame Dateien\SWF Studio
2007-06-22 16:12 --------- d-------- C:\DOKUME~1\***\ANWEND~1\Jasc Software Inc
2007-06-22 14:46 --------- d-------- C:\Programme\BearShare
2007-06-21 18:12 --------- d-------- C:\DOKUME~1\***\ANWEND~1\Creative
2007-06-21 15:00 --------- d-------- C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2007-06-21 14:44 --------- d-------- C:\Programme\Windows Live
2007-06-21 14:44 --------- d-------- C:\Programme\MSN Messenger
2007-06-21 14:44 --------- d-------- C:\Programme\Messenger Plus! Live
2007-06-19 21:19 --------- d-------- C:\DOKUME~1\***\ANWEND~1\FaxCtr
2007-06-19 15:50 --------- d-------- C:\DOKUME~1\***\ANWEND~1\ICQ
2007-06-19 15:32 --------- d-------- C:\Programme\Alwil Software
2007-06-19 15:31 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-19 15:31 282112 -----c--- C:\WINDOWS\system32\dllcache\gdi32.dll
2007-06-19 15:17 --------- d--h----- C:\Programme\WindowsUpdate
2007-06-19 15:08 2724 --a------ C:\WINDOWS\pchealth\HelpCtr\PackageStore\SkuStore.bin
2007-06-19 15:06 8972 --a------ C:\WINDOWS\pchealth\HelpCtr\Config\Cntstore.bin
2007-06-19 15:01 --------- d-------- C:\Programme\Windows NT
2007-06-19 06:31 0 --a------ C:\WINDOWS\system32\drivers\eicon.txt
2007-06-19 06:25 --------- d-------- C:\Programme\Realtek AC97
2007-06-19 06:23 --------- d-------- C:\Programme\IEEE 802.11 Wireless LAN
2007-06-19 06:23 --------- d-------- C:\Programme\Gemeinsame Dateien\InstallShield
2007-06-19 06:22 --------- d-------- C:\Programme\VIA
2007-06-19 06:21 --------- d-------- C:\Programme\Synaptics
2007-06-18 13:58 --------- d-------- C:\Programme\Gemeinsame Dateien\SpeechEngines
2007-06-18 13:58 --------- d-------- C:\Programme\Gemeinsame Dateien\ODBC
2007-06-18 13:15 0 -rahs---- C:\MSDOS.SYS
2007-06-18 13:15 0 -rahs---- C:\IO.SYS
2007-06-18 13:15 0 --a------ C:\CONFIG.SYS
2007-06-18 13:15 0 --a------ C:\AUTOEXEC.BAT
2007-06-18 13:13 --------- d-------- C:\Programme\Online-Dienste
2007-06-18 13:12 --------- d-------- C:\Programme\Gemeinsame Dateien\MSSoap
2007-06-18 13:12 --------- d-------- C:\Programme\Gemeinsame Dateien\Dienste
2007-06-18 13:11 --------- d-------- C:\Programme\Online Services
2007-06-18 13:10 --------- d-------- C:\Programme\MSN Gaming Zone
2007-06-14 20:09 96768 -----c--- C:\WINDOWS\system32\dllcache\inseng.dll
2007-06-14 20:09 617472 -----c--- C:\WINDOWS\system32\dllcache\urlmon.dll
2007-06-14 20:09 55808 -----c--- C:\WINDOWS\system32\dllcache\extmgr.dll
2007-06-14 20:09 532480 -----c--- C:\WINDOWS\system32\dllcache\mstime.dll
2007-06-14 20:09 474624 -----c--- C:\WINDOWS\system32\dllcache\shlwapi.dll
2007-06-14 20:09 449024 -----c--- C:\WINDOWS\system32\dllcache\mshtmled.dll
2007-06-14 20:09 39424 -----c--- C:\WINDOWS\system32\dllcache\pngfilt.dll
2007-06-14 20:09 357888 -----c--- C:\WINDOWS\system32\dllcache\dxtmsft.dll
2007-06-14 20:09 3079680 -----c--- C:\WINDOWS\system32\dllcache\mshtml.dll
2007-06-14 20:09 251392 -----c--- C:\WINDOWS\system32\dllcache\iepeers.dll
2007-06-14 20:09 205312 -----c--- C:\WINDOWS\system32\dllcache\dxtrans.dll
2007-06-14 20:09 16384 -----c--- C:\WINDOWS\system32\dllcache\jsproxy.dll
2007-06-14 20:09 152064 -----c--- C:\WINDOWS\system32\dllcache\cdfview.dll
2007-06-14 20:09 1494528 -----c--- C:\WINDOWS\system32\dllcache\shdocvw.dll
2007-06-14 20:09 146432 -----c--- C:\WINDOWS\system32\dllcache\msrating.dll
2007-06-14 20:09 1056256 -----c--- C:\WINDOWS\system32\dllcache\danim.dll
2007-06-14 20:09 1023488 -----c--- C:\WINDOWS\system32\dllcache\browseui.dll
2007-06-14 16:07 18432 -----c--- C:\WINDOWS\system32\dllcache\iedw.exe
2007-06-13 15:21 1036288 --a------ C:\WINDOWS\explorer.exe
2007-06-13 15:21 1036288 -----c--- C:\WINDOWS\system32\dllcache\explorer.exe
2007-05-17 13:28 549376 --a------ C:\WINDOWS\system32\oleaut32.dll
2007-05-17 13:28 549376 -----c--- C:\WINDOWS\system32\dllcache\oleaut32.dll
2007-05-16 17:12 85504 -----c--- C:\WINDOWS\system32\dllcache\wabimp.dll
2007-05-16 17:12 510976 -----c--- C:\WINDOWS\system32\dllcache\wab32.dll
2007-05-16 17:11 86528 -----c--- C:\WINDOWS\system32\dllcache\directdb.dll
2007-05-16 17:11 683520 --a------ C:\WINDOWS\system32\inetcomm.dll
2007-05-16 17:11 683520 -----c--- C:\WINDOWS\system32\dllcache\inetcomm.dll
2007-05-16 17:11 1314816 -----c--- C:\WINDOWS\system32\dllcache\msoe.dll

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SynTPLpr"="C:\Programme\Synaptics\SynTP\SynTPLpr.exe" [2005-10-23 16:58]
"SynTPEnh"="C:\Programme\Synaptics\SynTP\SynTPEnh.exe" [2005-10-23 16:58]
"VTTimer"="VTTimer.exe" [2005-10-23 15:11 C:\WINDOWS\system32\VTTimer.exe]
"VTTrayp"="VTtrayp.exe" [2005-10-23 15:12 C:\WINDOWS\system32\VTTrayp.exe]
"STDSB"="C:\WINDOWS\system32\drivers\STDSB.exe" [2005-10-23 16:35]
"SoundMan"="SOUNDMAN.EXE" [2005-10-23 16:18 C:\WINDOWS\SOUNDMAN.EXE]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_01\bin\jusched.exe" [2007-03-14 03:43]
"avast!"="C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe" [2007-07-28 00:03]
"lxcemon.exe"="C:\Programme\Lexmark 4300 Series\lxcemon.exe" [2005-08-02 19:45]
"EzPrint"="C:\Programme\Lexmark 4300 Series\ezprint.exe" [2005-07-26 14:17]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2007-06-22 17:11]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-06-29 06:24]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"LXCECATS"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll" [2005-07-20 15:46]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 00:57]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office\OSA9.EXE [1999-02-17 21:05:56]

R2 MTC0007_STDSB;Scroll Bar Driver;C:\WINDOWS\system32\drivers\STDSB.sys
S2 STDSB;STDSB;C:\WINDOWS\system32\DRIVERS\STDSB.sys
S3 FETNDIS;VIA PCI 10/100-MBit/s-Fast Ethernetadapter-NT-Treiber;C:\WINDOWS\system32\DRIVERS\fetnd5.sys
S3 ss_bus;Samsung Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys
S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys
S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys
S3 ssm_bus;SAMSUNG Mobile USB Device II 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ssm_bus.sys
S3 ssm_mdfl;SAMSUNG Mobile USB Modem II 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ssm_mdfl.sys
S3 ssm_mdm;SAMSUNG Mobile USB Modem II 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ssm_mdm.sys
S3 V0090VID;Creative WebCam Vista Plus;C:\WINDOWS\system32\DRIVERS\V0090Vid.sys

*Newly Created Service* - HTTPFILTER

**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, ***//***.gmer.net
Rootkit scan 2007-08-16 21:32:34
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
LXCECATS = rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXCEtime.dll,_RunDLLEntry@16??????????????????????????????????????????????????????????????????????????????? ????????????????????????????????????????????????????????????????????????????????????????????????????

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************

Completion time: 2007-08-16 21:33:14
C:\ComboFix-quarantined-files.txt ... 2007-08-16 21:33

--- E O F ---

--------------------

was hat denn das programm gemacht wenn ich fragen darf?

BataAlexander · 16.08.2007, 21:37

Folgende Programme solltest Du Deinstallieren

C:\Programme\BearShare
C:\Programme\Messenger Plus! Live

In dem Ordner C:\Qoobox liegt ein Backup der Datei
Icon.exe

Diese bitte an die eMail newvirus(a)kaspersky.com als Verschlüsseltes Archiv senden.

Zitat:

Die verdächtige Datei sollte zunächst mit Hilfe eines Packprogrammes, wie z.B. WinRar in ein Archiv gepackt und mit einem Passwort versehen werden. Die eMail sollte eine kurze Problembeschreibung, das erwähnte Passwort und logischerweise den Anhang beinhalten.

In dem Log sieht man weiter nichts, warten wir mal ab was Kaspersky sagt und Du machst derweil noch einen Scan mit eScan, Log hier posten.

Bata

Kitty.Kat · 16.08.2007, 22:13

hallo,

habe die programme gelöscht.. waren zwar 2 programme die mir bekannt waren und eigentlich ungefährlich sind, aber naja, was macht man nicht alles..

hab die datei nach ewigen hin und her klicken gefunden.. sie war in einem ordner namens quarantine oder so ähnlich (ja, mit i und nicht mit ä), und sie hieß komischerweiße "Icon.exe.vir".. und naja, ich hab sie auch verzippt, nur weiß ich leider nicht wie ich dateien mit einem passwort verzippe.. benutzte winrar.. weiß das vielleicht jemand damit ich die datei an kaspersky schicken kann?

danke schonmal

myrtille · 16.08.2007, 22:19

Bekannt ok, unschädlich nein.

Beide Programme sind bekannt dafür, dass sie Spy- und Adware bei ihrer Installation mitbringen. Zudem ist der Hauptinfektionsweg p2psharing. Also am besten nicht nur bearshare deinstallieren, sondern vor allem kein anderes neues Programm installieren!

quarantine ist englisch für quarantäne, das dürfte also seine Richtigkeit haben.
Wenn du Winrar benutzt, musst du eine rar datei erstellen, dann auf Advanced (normalerweise 2. Reiter) und dort auf Set Password. Passwort eingeben und auch den Haken bei bei "encrypt filename" anwählen.

lg myrtille

Kitty.Kat · 16.08.2007, 22:39

hey,

dass bearshare spyware mitbringt weiß ich.. aber naja, ich benutzte in letzter zeit eh ein programm wo ich die musik aus youtube ziehen kann..
und zu msn plus, ich weiß dass es da spyware mitbringt, aber man kann doch bei der installation auswählen ob die mitinstalliert wird oder nicht? o.O .. naja, jetzt ist es gelöscht und gut.

danke wegen winrar, ich werds gleich probieren.. hilft es eigentlich was wenn ich vor dem escan mein avast drüber laufen lasse?

lg

Kitty.Kat · 16.08.2007, 22:44

ähhhm es gibt ein kleines problem.. mein winrar ist auf deutsch

und ich bin nicht so gut in englisch.. eine 4 im zeugniss und naja.. ^^

myrtille · 16.08.2007, 22:45

Nicht wirklich. Sollte avast was finden, dann wird er es in seinen Quarantäneordner verschieben und dann zeigt eScan den Fund eben dort an, anstatt in seinem ursprünglichen Ordner.

Wenn du dir etwas Zeit sparen willst und uns evtl ein paar Meldungen, könntest du vorher mit ccleaner dein System etwas säubern und die temp-ordner leeren.
(starten und dann unter der Kategorie Cleaner, Karteireiter Windows "Analyze" und dann "Run Cleaner" klicken).

Du kannst aber escan auch einfach direkt laufen lassen.

lg myrtille

EDIT:
Also ich hab keine deutsche version, ich kann dir also nur die bedeutungen übersetzten.
->Der 2. Reiter ist der auf den du klicken sollst. Müsste irgendwie "weitere Einstellungen" oder "fortgeschrittene Einstellungen" heißen.
Dort sollte es rechts auf halber Höhe einen Knopf "Passwort setzen" geben. Dann geht ein Fenster auf in dem du das Passwort eingeben kannst. Darunter befinden sich 2 Sätze die Du anhaken kannst. Beide Haken sollten gesetzt sein. Standardmäßig ist nur einer gesetzt.

Kitty.Kat · 16.08.2007, 22:52

ok, danke. ich werde jetzt erstmal die datei an kaspersky schicken und danach avast durchlaufen lassen.. danach werd ich wahrscheinlich CCleaner benutzen und danach escan.. schätze das wird ne lange nacht..

myrtille · 16.08.2007, 23:15

Wie gesagt avast kannst du dir gerne sparen. Wird auch so eine lange Nacht.

Solltest du dich aber entschließen, den trotztdem durchlaufen zu lassen, dann poste auf jedenfall auch das Log von avast zum eScanlog.

lg myrtille

16.08.2007, 19:27	#4
BataAlexander > MalwareDB	Win32/Haxdoor -> Was soll ich tun? Checke diese beiden Dateien bei VirusTotal - Free Online Virus and Malware Scan C:\WINDOWS\system32\drivers\STDSB.exe C:\WINDOWS\system32\drivers\Icon.exe und poste das Ergebnis hier. Bata

16.08.2007, 23:15	#15
myrtille /// TB-Ausbilder	Win32/Haxdoor -> Was soll ich tun? Wie gesagt avast kannst du dir gerne sparen. Wird auch so eine lange Nacht. Solltest du dich aber entschließen, den trotztdem durchlaufen zu lassen, dann poste auf jedenfall auch das Log von avast zum eScanlog. lg myrtille

Win32/Haxdoor -> Was soll ich tun?

Plagegeister aller Art und deren Bekämpfung: Win32/Haxdoor -> Was soll ich tun?