Trojan.W32.Looksky

tweek · 02.09.2007, 18:15

Hi Leute
Habe ein dickes Problem...
grade beim CS spielen sprang er ausm Game und es kamen Meldungen von wegen , dass dieser Trojaner "detected" wurde...da ich noch nie wirklich welche hatte , steh ich jetzt erstmal aufm schlauch und ein freund von mir hat mir empfohlen , hier mein HijackLog zu posten...hoffe auf Hilfe!!

Logfile of HijackThis v1.99.1
Scan saved at 19:08:19, on 02.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\D-Link\AirPlus G\AirGCFG.exe
C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Trust\GM-4200 Gamer Mouse Optical\Panel.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Realtek\Rtl8180\RtlWake.exe
c:\windows\system32\rlvknlg.exe
C:\Programme\iPod\bin\iPodService.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Steam\Steam.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\robert\LOKALE~1\Temp\Rar$EX00.593\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O1 - Hosts: 66.98.148.65 auto.search.msn.com
O1 - Hosts: 66.98.148.65 auto.search.msn.es
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Programme\BitComet\tools\BitCometBHO_1.1.5.19.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: MSVPS System - {F4CF814F-970F-405D-A42C-0CE06EB97373} - C:\WINDOWS\mxduo.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Programme\D-Link\AirPlus G\AirGCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Firewall.exe] C:\WINDOWS\system32\Firewall.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Trust Gaming mouse] "C:\Programme\Trust\GM-4200 Gamer Mouse Optical\Panel.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Ultimate Defender] "C:\Programme\Ultimate Defender\UltimateDefender.exe" hide
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: .protected
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: .protected
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: RtlWake.lnk = ?
O8 - Extra context menu item: Download all links using BitComet - res://C:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://C:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Programme\BitComet\BitComet.exe/AddLink.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\rlls.dll
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O21 - SSODL: wmphost - {C6C165C2-EC5F-4BCC-9319-AD1AEEEABCEE} - C:\WINDOWS\wmphost.dll
O21 - SSODL: wmpdev - {A4E1883E-7546-4FD5-BC8C-A86FF1B093BA} - C:\WINDOWS\wmpdev.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Programme\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

Ich hoffe , dass ist richtig. Falls ich trotzdem irgendwas falsch gemacht hab , bezüglich des Logs , sagt es mir...stehe grad ein bisschen unter Schock^^

nochdigger · 02.09.2007, 18:57

Hallo

Zitat:

Habe ein dickes Problem...

Ich fürchte dicker als dir lieb ist

Mach bitte alle versteckten Dateien und Ordner sichtbar.

Lass diese Dateien
C:\WINDOWS\system32\Firewall.exe
c:\windows\system32\rlls.dll
hier Virustotal
hier VirSCAN.org - The Mutli-Engine Virus Scanner v1.00 Beta,Support 29 AntiVirus Engine, Last Update(070821)
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

Betreibst du Onlinebanking?
Wenn ja, verzichte bitte augenblicklich auf alles was mit einer Anmeldung bzw. Passworteingabe, abgesehen von hier, zu tun hat (Ebay, Onlinebanking usw.)

MFG

tweek · 02.09.2007, 19:22

Zitat:

Zitat von nochdigger

Hallo

Ich fürchte dicker als dir lieb ist

Mach bitte alle versteckten Dateien und Ordner sichtbar.

Lass diese Dateien
C:\WINDOWS\system32\Firewall.exe
c:\windows\system32\rlls.dll
hier Virustotal
hier VirSCAN.org - The Mutli-Engine Virus Scanner v1.00 Beta,Support 29 AntiVirus Engine, Last Update(070821)
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

Betreibst du Onlinebanking?
Wenn ja, verzichte bitte augenblicklich auf alles was mit einer Anmeldung bzw. Passworteingabe, abgesehen von hier, zu tun hat (Ebay, Onlinebanking usw.)

MFG

Hi ,

Das Ergebnis vom rlls.dll

AhnLab-V3 2007.9.1.0 2007.09.01 Win-AppCare/Rk.344064
AntiVir 7.4.1.66 2007.09.01 ADSPY/MarketScore.k
Authentium 4.93.8 2007.09.02 -
Avast 4.7.1029.0 2007.09.02 -
AVG 7.5.0.484 2007.09.02 Adware Generic2.GBJ
BitDefender 7.2 2007.09.02 Application.Proxy.Oss.DLL
CAT-QuickHeal 9.00 2007.09.01 -
ClamAV 0.91.2 2007.09.02 -
DrWeb 4.33 2007.09.02 -
eSafe 7.0.15.0 2007.09.02 -
eTrust-Vet 31.1.5100 2007.08.31 -
Ewido 4.0 2007.09.02 -
FileAdvisor 1 2007.09.02 -
Fortinet 3.11.0.0 2007.09.02 Misc/Oss
F-Prot 4.3.2.48 2007.09.02 -
F-Secure 6.70.13030.0 2007.09.02 -
Ikarus T3.1.1.12 2007.09.02 -
Kaspersky 4.0.2.24 2007.09.02 not-a-virus:AdWare.Win32.RK.m
McAfee 5110 2007.08.31 potentially unwanted program Proxy-OSS
Microsoft 1.2803 2007.09.02 Program:Win32/Marketscore.gen
NOD32v2 2497 2007.09.01 -
Norman 5.80.02 2007.09.02 -
Panda 9.0.0.4 2007.09.02 Generic Malware
Prevx1 V2 2007.09.02 Trojan.Nail
Rising 19.38.62.00 2007.09.02 -
Sophos 4.21.0 2007.09.02 -
Sunbelt 2.2.907.0 2007.08.31 Marketscore.RelevantKnowledge
Symantec 10 2007.09.02 Spyware.Marketscore
TheHacker 6.1.9.175 2007.09.02 -
VBA32 3.12.2.3 2007.09.01 AdWare.Win32.RK.m
VirusBuster 4.3.26:9 2007.09.02 -
Webwasher-Gateway 6.0.1 2007.09.01 Ad-Spyware.MarketScore.k
weitere Informationen
File size: 344064 bytes
MD5: 0cd946f4d6ad079d2967f4736bcad2db
SHA1: 14b4152f41201941a8d52c7f5925aae081bd1cdd
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=B02FDD3B0092CD9F40AB05ECBFFED900F3BED501

Firewall.exe :
existiert im Verzeichnis C:\WINDOWS\system32 irgendwie nicht...nur firewall.cpl

Nein , Onlinebanking betreibe ich nicht...

mfg

nochdigger · 02.09.2007, 20:08

Hallo

Zitat:

Firewall.exe :
existiert im Verzeichnis C:\WINDOWS\system32 irgendwie nicht...nur firewall.cpl

das gefällt mir nicht...

lade dir Blacklight
und poste anschließend das Log (findest du im selben Ordner wie Blacklight)
das sollte etwa so aussehen --> fsbl-xxxzahlenxxx.log
lass bitte auch Silentrunners übers System schauen und anschließend poste bitte ebenfalls das Log.

Führe bitte auch einen eScan nach dieser Anleitung durch
http://www.trojaner-board.de/42731-escan-anleitung.html
und nutze zum posten des Ergebnisses bitte die find.bat.

MFG

tweek · 02.09.2007, 20:48

Hi ,

Silentrunners :
"Silent Runners.vbs", revision 52, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"

Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"Steam" = "(empty string)" [file not found]

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"RTHDCPL" = "RTHDCPL.EXE" ["Realtek Semiconductor Corp."]
"Alcmtr" = "ALCMTR.EXE" ["Realtek Semiconductor Corp."]
"D-Link AirPlus G" = "C:\Programme\D-Link\AirPlus G\AirGCFG.exe" ["D-Link"]
"ANIWZCS2Service" = "C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe" ["Alpha Networks Inc."]
"SunJavaUpdateSched" = ""C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"" ["Sun Microsystems, Inc."]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit" [MS]
"Firewall.exe" = "C:\WINDOWS\system32\Firewall.exe" [file not found]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"iTunesHelper" = ""C:\Programme\iTunes\iTunesHelper.exe"" ["Apple Computer, Inc."]
"DAEMON Tools" = ""C:\Programme\DAEMON Tools\daemon.exe" -lang 1033" ["DT Soft Ltd."]
"Trust Gaming mouse" = ""C:\Programme\Trust\GM-4200 Gamer Mouse Optical\Panel.exe"" [null data]
"ICQ Lite" = ""C:\Programme\ICQLite\ICQLite.exe" -minimize" ["ICQ Ltd."]
"avgnt" = ""C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min" ["Avira GmbH"]
"Ultimate Defender" = ""C:\Programme\Ultimate Defender\UltimateDefender.exe" hide" ["Nous-Tech Solutions Ltd."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{055FD26D-3A88-4e15-963D-DC8493744B1D}\(Default) = "XTTBPos00"
-> {HKLM...CLSID} = "XTTBPos00 Class"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Adobe PDF Reader Link Helper"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"]
{39F7E362-828A-4B5A-BCAF-5B79BFDFEA60}\(Default) = "BitComet ClickCapture"
-> {HKLM...CLSID} = "BitComet Helper"
\InProcServer32\(Default) = "C:\Programme\BitComet\tools\BitCometBHO_1.1.5.19.dll" ["BitComet"]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
-> {HKLM...CLSID} = "SSVHelper Class"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_08\bin\ssv.dll" ["Sun Microsystems, Inc."]
{F4CF814F-970F-405D-A42C-0CE06EB97373}\(Default) = (no title provided)
-> {HKLM...CLSID} = "MSVPS System"
\InProcServer32\(Default) = "C:\WINDOWS\mxduo.dll" [empty string]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\System32\hticons.dll" ["Hilgraeve, Inc."]
"{A70C977A-BF00-412C-90B7-034C51DA2439}" = "NvCpl DesktopContext Class"
-> {HKLM...CLSID} = "DesktopContext Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{FC9FB64A-1EB2-4CCF-AF5E-1A497A9B5C2D}" = "Messenger Sharing Folders"
-> {HKLM...CLSID} = "Meine freigegebenen Ordner"
\InProcServer32\(Default) = "C:\Programme\MSN Messenger\fsshext.8.1.0178.00.dll" [MS]
"{E0D79304-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"]
"{E0D79305-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"]
"{E0D79306-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"]
"{E0D79307-84BE-11CE-9641-444553540000}" = "WinZip"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"]
"{FFB699E0-306A-11d3-8BD1-00104B6F7516}" = "Play on my TV helper"
-> {HKLM...CLSID} = "NVIDIA CPL Extension"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvcpl.dll" ["NVIDIA Corporation"]
"{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
"{B9E1D2CB-CCFF-4AA6-9579-D7A4754030EF}" = "iTunes"
-> {HKLM...CLSID} = "iTunes"
\InProcServer32\(Default) = "C:\Programme\iTunes\iTunesMiniPlayer.dll" ["Apple Computer, Inc."]
"{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu"
-> {HKLM...CLSID} = "Portable Media Devices Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS]
"{45AC2688-0253-4ED8-97DE-B5370FA7D48A}" = "Shell Extension for Malware scanning"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
"{2F5AC606-70CF-461C-BFE1-6063670C3484}" = "Mouse CPL Extension"
-> {HKLM...CLSID} = "MouseCplExt Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\MousePage.dll" [null data]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]
"wmphost" = "{C6C165C2-EC5F-4BCC-9319-AD1AEEEABCEE}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\wmphost.dll" [null data]
"wmpdev" = "{A4E1883E-7546-4FD5-BC8C-A86FF1B093BA}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\wmpdev.dll" [null data]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info"
-> {HKLM...CLSID} = "PDF Shell Extension"
\InProcServer32\(Default) = "C:\Programme\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Shell Extension for Malware scanning\(Default) = "{45AC2688-0253-4ED8-97DE-B5370FA7D48A}"
-> {HKLM...CLSID} = "Shell Extension for Malware scanning"
\InProcServer32\(Default) = "C:\Programme\AntiVir PersonalEdition Classic\shlext.dll" ["Avira GmbH"]
WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}"
-> {HKLM...CLSID} = "WinRAR"
\InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data]
WinZip\(Default) = "{E0D79304-84BE-11CE-9641-444553540000}"
-> {HKLM...CLSID} = "WinZip"
\InProcServer32\(Default) = "C:\PROGRA~1\WINZIP\WZSHLSTB.DLL" ["WinZip Computing LP"]

Group Policies {GPedit.msc branch and setting}:
-----------------------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) hex:0x00000001
{Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options|
Devices: Allow undock without having to log on}

Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be enabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\robert\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Active Desktop web content (hidden if disabled):

HKCU\Software\Microsoft\Internet Explorer\Desktop\Components\0\
"FriendlyName" = "Privacy Protection"
"Source" = "file:///C:\WINDOWS\privacy_danger\index.htm"
"SubscribedURL" = ""

Enabled Screen Saver:
---------------------

HKCU\Control Panel\Desktop\
"SCRNSAVE.EXE" = "C:\WINDOWS\System32\logon.scr" [MS]

Startup items in "robert" & "All Users" startup folders:
--------------------------------------------------------

C:\Dokumente und Einstellungen\robert\Startmenü\Programme\Autostart
<<!>> ".protected" [null data]
"Adobe Gamma" -> shortcut to: "C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe" ["Adobe Systems, Inc."]

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart
<<!>> ".protected" [null data]
"Adobe Reader - Schnellstart" -> shortcut to: "C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe" ["Adobe Systems Incorporated"]
"RtlWake" -> shortcut to: "C:\Programme\Realtek\Rtl8180\RtlWake.exe" [empty string]

Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
C:\WINDOWS\system32\rlls.dll ["RelevantKnowledge"], 01 - 05, 38
%SystemRoot%\system32\mswsock.dll [MS], 06 - 09, 12 - 37
%SystemRoot%\system32\rsvpsp.dll [MS], 10 - 11

Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}"
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{E59EB121-F339-4851-A3BA-FE49C35617C2}\
"ButtonText" = "ICQ6"
"MenuText" = "ICQ6"
"Exec" = "C:\Programme\ICQ6\ICQ.exe" ["ICQ, Inc."]

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]

Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
<<H>> "{855F3B16-6D32-4fe6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]

HOSTS file
----------

C:\WINDOWS\System32\drivers\etc\HOSTS

maps: 3 domain names to IP addresses,
2 of the IP addresses are *not* localhost!

Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

AntiVir PersonalEdition Classic Guard, AntiVirService, ""C:\Programme\AntiVir PersonalEdition Classic\avguard.exe"" ["Avira GmbH"]
AntiVir PersonalEdition Classic Planer, AntiVirScheduler, ""C:\Programme\AntiVir PersonalEdition Classic\sched.exe"" ["Avira GmbH"]
iPod Service, iPod Service, ""C:\Programme\iPod\bin\iPodService.exe"" ["Apple Computer, Inc."]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]

---------- (launch time: 2007-09-02 21:19:39)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
DLL launch points, use the -supp parameter or answer "No" at the
first message box and "Yes" at the second message box.
---------- (total run time: 27 seconds, including 4 seconds for message boxes)

Blacklight :
09/02/07 21:11:14 [Info]: BlackLight Engine 1.0.64 initialized
09/02/07 21:11:14 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/02/07 21:11:14 [Note]: 7019 4
09/02/07 21:11:14 [Note]: 7005 0
09/02/07 21:11:16 [Note]: 7006 0
09/02/07 21:11:16 [Note]: 7011 780
09/02/07 21:11:16 [Note]: 7026 0
09/02/07 21:11:16 [Note]: 7026 0
09/02/07 21:11:18 [Note]: FSRAW library version 1.7.1022
09/02/07 21:14:18 [Note]: 2000 1012
09/02/07 21:14:43 [Note]: 7007 0

tweek · 02.09.2007, 20:49

eScan:

Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.4.1
Sprache: German
C:\DOKUME~1\robert\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "ultimatedefender Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "ultimatedefender Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "ultimatedefender Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "alureon Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "whenu.savenow Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "net-msv/vps Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "savenow Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "ultimatedefender Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "newmediacodec Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "ultimatedefender Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "ultimatedefender Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "instantaccess Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "instantaccess Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "instantaccess Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "ultimatedefender Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "ultimatedefender Corrupted Adware/Spyware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen.
System found infected with videocach/gen Trojan ({a8954909-1f0f-41a5-a7fa-3b376d69e226})! Action taken: Keine Aktion vorgenommen.
System found infected with videocach/gen Trojan ({967a494a-6aec-4555-9caf-fa6eb00acf91})! Action taken: Keine Aktion vorgenommen.
System found infected with videocach/gen Trojan ({9692be2f-eb8f-49d9-a11c-c24c1ef734d5})! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware ({c285d18d-43a2-4aef-83fb-bf280e660a97})! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (error cleaner.url)! Action taken: Keine Aktion vorgenommen.
System found infected with winad Adware (installer.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with privacyprotector Corrupted Adware/Spyware (privacy protector.url)! Action taken: Keine Aktion vorgenommen.
System found infected with privacyprotector Corrupted Adware/Spyware (spyware&malware protection.url)! Action taken: Keine Aktion vorgenommen.
System found infected with winfixer/errorsafe Adware (error cleaner.url)! Action taken: Keine Aktion vorgenommen.
System found infected with privacyprotector Corrupted Adware/Spyware (privacy protector.url)! Action taken: Keine Aktion vorgenommen.
System found infected with privacyprotector Corrupted Adware/Spyware (spyware&malware protection.url)! Action taken: Keine Aktion vorgenommen.
System found infected with whenu.savenow Spyware/Adware (war3_install.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with ultimate defender Corrupted Adware/Spyware (C:\PROGRA~1\ULTIMA~1\PROGRA~1.INF)! Action taken: Keine Aktion vorgenommen.
System found infected with marketscore Spyware/Adware (C:\WINDOWS\system32\silc_dll.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with marketscore Spyware/Adware (C:\WINDOWS\system32\ldpackage.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with ultimatedefender Corrupted Adware/Spyware (C:\PROGRA~1\ULTIMA~1\UDEFEN~1.PKG)! Action taken: Keine Aktion vorgenommen.
System found infected with ultimate defender Corrupted Adware/Spyware (C:\PROGRA~1\ULTIMA~1\UNINST~1.EXE)! Action taken: Keine Aktion vorgenommen.
System found infected with ultimatedefender Corrupted Adware/Spyware (C:\PROGRA~1\ULTIMA~1\ULTIMA~1.EXE)! Action taken: Keine Aktion vorgenommen.
System found infected with shangxing BackDoor (C:\WINDOWS\system32\svkp.sys)! Action taken: Keine Aktion vorgenommen.
System found infected with ultimatedefender Corrupted Adware/Spyware (C:\PROGRA~1\ULTIMA~1\ULTIMA~1.DB)! Action taken: Keine Aktion vorgenommen.
System found infected with shangxing BackDoor (hkey_local_machine\system\controlset001\services\svkp)! Action taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\system32\rlls.dll markiert als "not-a-virus:AdWare.Win32.RK.m". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File c:\windows\system32\rlvknlg.exe markiert als "not-a-virus:AdWare.Win32.RK.k". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\Dokumente und Einstellungen\robert\Desktop\udefender_setup.exe//PE_Patch.UPX//UPX markiert als "not-a-virus:FraudTool.Win32.UltimateDefender.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall6_38.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\NDNuninstall7_22.exe markiert als "not-a-virus:AdWare.Win32.NewDotNet.e". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\rlls.dll markiert als "not-a-virus:AdWare.Win32.RK.m". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\rlvknlg.exe markiert als "not-a-virus:AdWare.Win32.RK.k". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\WinSecure.004 markiert als "not-a-virus:Monitor.Win32.Ardamax.k". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\WinSecure.006 markiert als "not-a-virus:Monitor.Win32.Ardamax.24". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\WinSecure.007 markiert als "not-a-virus:Monitor.Win32.Ardamax.24". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\DOKUME~1\robert\LOKALE~1\TEMPOR~1\Content.IE5\G5H4VQ5V\udefender_setup[1].exe//PE_Patch.UPX//UPX markiert als "not-a-virus:FraudTool.Win32.UltimateDefender.c". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\DOKUME~1\robert\LOKALE~1\Temp\war3_install.exe
Offending file found: C:\Dokumente und Einstellungen\robert\Desktop\error cleaner.url
Offending file found: C:\Dokumente und Einstellungen\robert\Desktop\interface\wow-language-pack-engb\installer.exe
Offending file found: C:\Dokumente und Einstellungen\robert\Desktop\privacy protector.url
Offending file found: C:\Dokumente und Einstellungen\robert\Desktop\spyware&malware protection.url
Offending file found: C:\Dokumente und Einstellungen\robert\Favoriten\error cleaner.url
Offending file found: C:\Dokumente und Einstellungen\robert\Favoriten\privacy protector.url
Offending file found: C:\Dokumente und Einstellungen\robert\Favoriten\spyware&malware protection.url
Offending file found: C:\Dokumente und Einstellungen\robert\Lokale Einstellungen\temp\war3_install.exe
Offending file found: C:\PROGRA~1\ULTIMA~1\PROGRA~1.INF
Offending file found: C:\WINDOWS\system32\silc_dll.dll
Offending file found: C:\WINDOWS\system32\ldpackage.dll
Offending file found: C:\PROGRA~1\ULTIMA~1\UDEFEN~1.PKG
Offending file found: C:\PROGRA~1\ULTIMA~1\UNINST~1.EXE
Offending file found: C:\PROGRA~1\ULTIMA~1\ULTIMA~1.EXE
Offending file found: C:\WINDOWS\system32\svkp.sys
Offending file found: C:\PROGRA~1\ULTIMA~1\ULTIMA~1.DB
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\WINDOWS\privacy_danger
Offending Folder found: C:\Programme\ultimate defender
Offending Folder found: C:\Dokumente und Einstellungen\robert\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\robert\Anwendungsdaten\ultimate defender
Offending Folder found: C:\Dokumente und Einstellungen\robert\Desktop\verk\backup interface\bigwigs\mc
Offending Folder found: C:\Dokumente und Einstellungen\robert\Desktop\verk\interface\addons\bigwigs\mc
Offending Folder found: C:\Dokumente und Einstellungen\robert\Desktop\verk\v3\interface\addons\bigwigs\mc
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\ultimate defender
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\ultimate defender
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\Microsoft\Windows\CurrentVersion\uninstall\ultimate defender !!!
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKLM\Software\ultimate defender !!!
Offending Key found: HKCU\Software\ultimate defender !!!
Offending Key found: HKLM\Software\microsoft\videoplugin !!!
Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\whenu !!!
Offending Key found: HKCU\\magnet !!!
Offending Key found: HKCU\\msvps.msvpsapp !!!
Offending Key found: HKCU\\wusn.1 !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\DOKUME~1\robert\LOKALE~1\Temp\GLB11F.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\robert\LOKALE~1\Temp\GLB149.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\robert\LOKALE~1\Temp\GLB23D.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\robert\LOKALE~1\Temp\GLB26.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\robert\LOKALE~1\Temp\GLB2A.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\robert\LOKALE~1\Temp\GLB2C.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\robert\LOKALE~1\Temp\GLB33.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\robert\LOKALE~1\Temp\GLB5.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\robert\LOKALE~1\Temp\GLB5B.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\robert\LOKALE~1\Temp\GLB6C.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\robert\LOKALE~1\Temp\GLB7.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\robert\LOKALE~1\Temp\GLB9C.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\robert\LOKALE~1\Temp\GLBBB.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\robert\LOKALE~1\Temp\GLBC4.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\robert\LOKALE~1\Temp\GLBD5.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\robert\LOKALE~1\Temp\sdq8.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\robert\LOKALE~1\Temp\SIntf16.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :
C:\WINDOWS\System32\drivers\etc\hosts :66.98.148.65 auto.search.msn.com
C:\WINDOWS\System32\drivers\etc\hosts :66.98.148.65 auto.search.msn.es
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 21:47:00,87
Batchende: 21:47:03,25

tweek · 02.09.2007, 21:16

kann man das irgendwie löschen , oder hilft hier nur noch formatieren?
kann der virus eigentlich auch meine festplatte in irgendeiner weise schädigen?

ordell1234 · 02.09.2007, 22:47

Neben verschiedener Mal-/Adware, die du dir zugezogen hast, bereiten mir v.a. 2 Dateien Kopfzerbrechen:

- "nochdiggers"

firewall.exe
- und C:\WINDOWS\system32\svkp.sys (komisch, dass silentrunners den Treiber nicht listet)

Im ungünstigen Fall bist du an eine fiese Smitfraud-variante gelangt, bei der ich nur zum Neuaufsetzen raten kann. Versuche bitte, C:\WINDOWS\system32\svkp.sys bei virustotal.com auswerten zu lassen.

Weigert sich die Datei, benenne sie in svkp.ren um, starte im abgesicherten Modus neu (beim Start von Windows F8 drücken) und kopiere die Datei auf den Desktop, versuche es dann erneut mit dem upload.

Hilft das auch nicht, muss schwereres Geschütz aufgefahren werden:

Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:

2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Files to replace with dummy:
C:\WINDOWS\system32\svkp.sys

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

4.) Danach das System unverzüglich neu starten lassen

Poste den Inhalt der C:\avenger.txt Datei. Wenn ich mich recht erinnere, legt Avenger auch ein Backup der ersetzten Datei an. Dieses Backup sollte sich dann bei virustotal hochladen lassen. (ich prüfe das gleich mal selbst)

Bitte die Datei nicht einfach löschen! Sie ist wichtig für die Analyse.

Gruß

BataAlexander · 03.09.2007, 01:29

Hallo

@tweek, alles so machen wie Ordell es will, aber eine Frage hätt ich

Zitat:

[DAEMON Tools]
[Trust Gaming mouse]

Spielst Du auch dem Rechner viel? Hach da steht ja CS, aber was noch?
Ich frage deswegen.

Bata

tweek · 03.09.2007, 11:39

Hi ,

@ordell 1234

Hier die Auswertung der SVKP.sys Datei (falls es was zur Debatte tut , ich habe gerade meinen Rechner im Safe Mode hochgefahren und die Datei auch im Safe Mode bei Virustotal hochgeladen , da ich im normalen Modus nicht ins Internet kam...)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.9.1.0 2007.09.03 -
AntiVir 7.4.1.66 2007.09.03 -
Authentium 4.93.8 2007.09.02 -
Avast 4.7.1029.0 2007.09.03 -
AVG 7.5.0.484 2007.09.02 -
BitDefender 7.2 2007.09.03 -
CAT-QuickHeal 9.00 2007.09.01 TrojanSpy.Joiner.av
ClamAV 0.91.2 2007.09.03 -
DrWeb 4.33 2007.09.03 -
eSafe 7.0.15.0 2007.09.02 -
eTrust-Vet 31.1.5105 2007.09.03 -
Ewido 4.0 2007.09.02 -
FileAdvisor 1 2007.09.03 -
Fortinet 3.11.0.0 2007.09.03 SPY/Joiner
F-Prot 4.3.2.48 2007.09.02 -
F-Secure 6.70.13030.0 2007.09.03 -
Ikarus T3.1.1.12 2007.09.03 -
Kaspersky 4.0.2.24 2007.09.03 -
McAfee 5110 2007.08.31 -
Microsoft 1.2803 2007.09.03 -
NOD32v2 2499 2007.09.03 -
Norman 5.80.02 2007.09.02 -
Panda 9.0.0.4 2007.09.02 -
Prevx1 V2 2007.09.03 -
Rising 19.39.02.00 2007.09.03 -
Sophos 4.21.0 2007.09.03 -
Sunbelt 2.2.907.0 2007.08.31 -
Symantec 10 2007.09.03 -
TheHacker 6.1.9.175 2007.09.02 -
VBA32 3.12.2.3 2007.09.01 -
VirusBuster 4.3.26:9 2007.09.02 -
Webwasher-Gateway 6.0.1 2007.09.03 -
weitere Informationen
File size: 2368 bytes
MD5: f05028b163b92c302a74409d683ac9b0
SHA1: 74a943b9f3bf63f8de5c3175f96366b24a661067

Konnte jetzt grade im normalen Modus doch ins Internet und habe auch mal Avenger drüber laufen lassen , nach der Anleitung.

Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Services\rslxkrdo

*******************

Script file located at: \??\C:\Program Files\fvruprpv.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

File C:\WINDOWS\system32\svkp.sys replaced with dummy successfully.

Completed script processing.

*******************

Finished! Terminate.

Ich weiß , dass ich sie nicht löschen sollte...aber da steht jetzt Terminate? ich hab alles so gemacht wie beschrieben.
@Bata

Ja , hauptsächlich CS. Dann habe ich von April bis jetzt World of Warcraft gespielt , aber mein Account ist seit 2 Tagen abgelaufen und ich fange auch nicht wieder an. Naja , sonst hab ich noch Sachen wie Star Wars Battlefront 2 usw. drauf , spiele ich aber eigentlich gar nicht. Aber gut , dass du das ansprichst , weil in den letzten zwei Tagen , immer wenn ich im TeamSpeak mit Freunden war und in CS , ging nach ca. 45 Minuten (manchmal auch weniger) die Verbindung zu Steam + TeamSpeak weg. Doch andere Sachen wie ICQ , MSN konnte ich ganz gewöhnlich starten..

EDIT://
Wollte jetzt grade die svkp Datei im normalen Modus hochladen , und es ging nicht!

ordell1234 · 03.09.2007, 13:20

Ok. aufgrund des HASHs gehe ich mal davon aus, dass die SVKP.sys soweit sauber ist. Um Probleme zu vermeiden, rücken wir wieder die svkp.sys an Ort und Stelle. Gehe dazu in den Ordner c:\Avenger. Dort findest du eine backup.zip. Entzippe das Archiv, die svkp.sys sollte in dem Archiv sein. Soweit erstmal. (Das erneute Hochladen der svkp.sys mußte fehlschlagen, da die Datei durch eine leere Hülse von Avenger ersetzt wurde)

Versuch einer Bereinigung (Ich würde dir ehrlich gesagt zum Neuaufsetzen raten, sehe derzeit aber keine Infektion, die das erzwingt - die firewall.exe leigt nicht zufällig im Quarantäne-ordner von Antivir?):

So mal kucken, wie weit ich das zusammen bekomme:

1. Lade dir LspFix und WinsockXPFix.exe - bitte noch nicht starten. (von Sunny geklaut

)

2.Gehe in die Systemsteuerung -> Software und suche nach
- Relevant Knowledge, rxtoolbar publisher oder ähnlichen Einträgen
- UltimateDefender
- Newdotnet
und deinstalliere das Zeugs, sofern gelistet. Bei Nachfragen zum Neustart verneine.

3. Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte es und wähle Option 2 (ich glaube, der PC startet neu, bin aber nicht mehr sicher)

Beim Neustart F8 drücken, um in den abgesicherten Modus zu gelangen. Dann - im abgesicherten Modus -

4. Avenger: Gleiches Szenario wie grad eben - siehe voriges Posting - nur mit diesem script:

Code:

ATTFilter

files to delete:
C:\WINDOWS\system32\silc_dll.dll
C:\DOKUMEnte und Einstellungen\robert\lokale Einstellungen\Temp\war3_install.exe 
C:\WINDOWS\system32\ldpackage.dll

Noch kein reboot, erst noch:

5. Starte HJT und fixe, soweit vorhanden:

Zitat:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Ultimate Defender] "C:\Programme\Ultimate Defender\UltimateDefender.exe" hide
O4 - HKLM\..\Run: [Firewall.exe] C:\WINDOWS\system32\Firewall.exe
O21 - SSODL: wmphost - {C6C165C2-EC5F-4BCC-9319-AD1AEEEABCEE} - C:\WINDOWS\wmphost.dll
O21 - SSODL: wmpdev - {A4E1883E-7546-4FD5-BC8C-A86FF1B093BA} - C:\WINDOWS\wmpdev.dll

6. Deaktiviere die Systemwiederherstellung

7. Starte neu.

8. Filelist

1. Lade das filelist.zip auf deinen Desktop herunter.
2. Entpacke die Zip-Datei auf deinen Desktop (mit WINZIP), öffne die nun auf deinem Destop vorhandene filelist.bat mit einem Doppelklick auf die Datei
3. Dein Editor (Textverarbeitungsprogramm) wird sich öffnen
4. Markiere von diesem Inhalt aus jedem Verzeichnis jeweils die letzten 30 Tage, wähle kopieren, füge diese Dateien in deinem nächsten Beitrag ein.

Dies sind die Verzeichnisse von denen wir jeweils die letzten 30 Tage sehen wollen:
Verzeichnis von C:\
Verzeichnis von C:\WINDOWS\system32
Verzeichnis von C:\WINDOWS
Verzeichnis von C:\WINDOWS\Prefetch (Windows XP)
Verzeichnis von C:\WINDOWS\tasks
Verzeichnis von C:\WINDOWS\Temp
Verzeichnis von C:\DOCUME~1\Name\LOCALS~1\Temp

9. Poste ein
- neues HJT-log
- das Avenger-log
- das smitfraud-log
- das filelist-log

10. Sollte dein Internet nicht mehr funktionieren,

LspFix - Reparieren WINSOCK

Im WINSOCK von Windows werden Funktionen gesammelt (Bibliothek) welche zum Zugriff auf Netzwerkkomponenten nötig ist.
Winsock ergänzt Windows um das TCP/IP-Protokoll und ist für die Verbindung des PCs mit dem Internet zuständig.

Sie wird oftmals durch spezielle schädliche Software (Webhancer, NewDotNet) als auch vom ISP (Internet Service Provider) zerstört.

- Hilfe biete in diesem Fall das Tool -> LspFix
- nach dem Start erscheint diese Auswahl:

- bewege nun die schädlichen Dateien von links (KEEP) nach rechts (REMOVE) und dann auf Finish

- danach das System neu starten lassen, und der Zugriff auf das Netzwerk/Internet sollte wieder funktionieren

(hilft das nicht, nutze auch Winsockxpfix -> klicken, neustarten, hoffen

)

11. folgt, für Sachen, die ich übersehen habe bzw. nicht funktioniert haben.

gruß

tweek · 03.09.2007, 13:52

Ich danke dir dir für deine Mühe und Arbeit , aber bei allem was ich momentan lesen muss , denke ich , dass formatieren hier einfach die beste lösung wäre.

ordell1234 · 03.09.2007, 13:56

Achso, auch dafür gibst ne Anleitung im Board

. Bitte lesen und beherzigen. Gruß

Walkoll · 08.09.2007, 14:01

Hallo zusammen

Eine Freundin von mir hat mir diese Woche ein Laptop vorbeigebracht, ebenfalls mit dem gleichen Meldung (Trojan.W32.Looksky) und dem roten Totenkopf-Hintergrundbild.

Im Gegensatz zu Ihr sitze ich hinter Router/Firewall im Netz (werde Ihr dazu raten bevor sie den Laptop wieder in Betrieb nimmt Zuhause^^). Ich habe diesen Beitrag hier schon fünf Mal rauf und runter gelesen und bisher einiges gemacht. Abgesehen davon, dass das Ding immer noch recht langsam ist, scheint alles wieder reibungslos zu laufen. Ich bin mir aber nicht sicher, ob die Probleme alle behoben sind, dazu habe ich einige Dinge aus diesem Thread ebenfalls runtergeladen und laufen lassen. Bisher habe ich folgende Schritte ausgeführt:

- Scan mit Spybot,
- Scan mit Antivir
- und Stinger drüber laufen lassen (überall vorab Updates gemacht).
ohne grossen Erfolg (Spybot hat einiges entfernt und die Situation auf dem Laptop verbessert). Windows Firewall ist wieder eingeschalten.

Nun laufen Norton Protection Center, AntiVir und Spybot (System immunisiert) nach dem Start von Windows. Bei allen weiteren Schritten, habe ich mich an diesem Beitrag hier orientiert und folgendes gemacht:

Windows Optionen geändert:
- Ordner alle sichtbar gemacht
- Systemdateien eingeblendet
- Dateierweiterungen anzeigen lassen

Im Beitrag angesprochene Dateien:
Die Datei svkp.sys habe ich nicht gefunden. Avenger habe ich zwar runtergezogen, aber bisher noch nicht eingesetzt. Dateien firewall.exe und rlls.dll sind ebenfalls nicht (mehr?) vorhanden. Daher kann ich zu allen Dateien kein Log schicken von Virustotal, VirSCAN.org und Jotti. (Und wie Windows-Firewall ist trotzdem aktiviert??!)

Anleitung von ordell:
- Anschliessend habe ich die Tools runtergeladen (LspFix und WinsockXPFix.exe).
- SmitfraudFix runtergeladen und laufen lassen.

Mehr habe ich bisher noch nicht gemacht, das System scheint wieder in Ordnung. Zur Sicherheit habe ich das System jetzt aber trotzdem nochmals durchgescannt, da ich wie gesagt mit Avenger noch keine Updates vorgenommen habe. Blacklight hat nix zurückgebracht, aber hier die anderen Logs:

- HijackThis v1.99.1
- Silentrunners
- e-Scan

Kann mir jemand raten, was ich ab jetzt noch machen soll? Wenn ich das Log der find.bat aus dem e-scan-Prozedere anschaue, habe ich das Gefühl das sich da noch was ekliges versteckt

das später wieder zu Probs führen kann.

Neu aufsetzen möchte ich wenn möglich vermeiden, da das System wie gesagt schon wieder ziemlich gut läuft.

Danke im Voraus und Gruss
Walkoll

ordell1234 · 08.09.2007, 14:53

Zitat:

Zitat von Walkoll

Neu aufsetzen möchte ich wenn möglich vermeiden, da das System wie gesagt schon wieder ziemlich gut läuft.

Verständlich, aber mE nicht zu vermeiden

. Looksky wird durch die Bank weg Backdoorfunktionalität mit der Möglichkeit des Fernzugriffs nachgesagt. Da du entsprechende Symptome der Infizierung hattest, ist der Laptop nicht mehr vertrauenswürdig. Neuaufsetzen halte ich für die einzig sinnvolle Option. Dass die Kiste wieder läuft, ist keinerlei ein Beleg für ein integeres System. Ändere sämtliche Passwörter, PINs und sonstige sicherheitsrelevante Daten.

Ein Router ist keine schlechte Idee, verhindert aber derartige Infizierungen nicht. So einen Trojaner muss man sich installieren, dagegen schützt auch kein Router, sondern nur gezügelte Neugier bei e-mail-Anhängen und Ähnlichem. Gruß ordell

Trojan.W32.Looksky

Log-Analyse und Auswertung: Trojan.W32.Looksky