asapi.dll bzw PE_Patch.UPX//UPX

chux · 17.03.2008, 21:38

Hi Leute,

seit gestern habe ich immer wieder das gleiche Problem mit meinem Rechner. Sobald ich cs:source starte, meldet sich mein Virenscanner (Kaspersky) zu Wort und schreibt mir, dass das trojanische Programm Trojan.Win32.Agent.wc Datei: C:\WINDOWS\asapi.dll//PE_Patch.UPX//UPX gefunden wurde.

Ich hab schon hier im Board gesucht und ne ganze Weile gegoogelt aber bis jetzt keinen wirklichen Rat finden können. Ich hoffe das ihr mir da weiter helfen könnt. Ich habe auch mal HijackThis laufen lassen und das File auswerten lassen, aber da kam auch nicht wirklich was bei raus.

Meine Frage ist jetzt, könnte es sein das es sich um einen Bug handelt, weil die Warnung nur auftritt wenn ich cs:source starte oder habe ich wrklicheinen Trojander an Bord??

Hier mein HJT-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 20:50:28, on 17.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
E:\Programme\Sony\Shared Plug-Ins\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe
C:\Programme\Abraxas\Enzyklopaedie 2007\deutsch\bin\mysqld.exe
C:\WINDOWS\system32\nvsvc32.exe
E:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Canon\CAL\CALMAIN.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\CTHELPER.EXE
C:\WINDOWS\system32\CTXFIHLP.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\SYSTEM32\CTXFISPI.EXE
E:\Programme\I-Pod\i-Tunes\iTunesHelper.exe
E:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
E:\Programme\BOINC\boincmgr.exe
E:\Programme\BOINC\boinc.exe
E:\Programme\BOINC\projects\www.worldcommunitygrid.org\wcg_hcc1_img_5.20_windows_intelx86
E:\Programme\I-Pod\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
E:\Programme\Steam\Steam.exe
E:\Programme\Teamspeak 2\TeamSpeak.exe
E:\Programme\Ad-Aware SE Personal\Ad-Aware.exe
C:\Dokumente und Einstellungen\****\Desktop\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet Toolbar Helper - {6A373B7E-496E-424f-A9BE-486A5E9AB018} - C:\Programme\BitComet Toolbar\v2.0.0.1\BitComet_Toolbar.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - E:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: BitComet Toolbar - {2E608F70-C430-4bc5-96F6-608E02EBA5B2} - C:\Programme\BitComet Toolbar\v2.0.0.1\BitComet_Toolbar.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "E:\Programme\I-Pod\i-Tunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "E:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: BOINC Manager.lnk = E:\Programme\BOINC\boincmgr.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: Microsoft Office.lnk = E:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://E:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - E:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQ\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQ\ICQLite.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1130169595671
O17 - HKLM\System\CCS\Services\Tcpip\..\{8DC4FD43-E4F5-45DD-A957-ACBD4E0D7DF7}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{F44B9DC7-A64E-4A9F-B9AD-212B190F0CC0}: NameServer = 192.168.178.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - E:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - AppInit_DLLs: sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll,,C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" -r (file missing)
O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Programme\Canon\CAL\CALMAIN.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - E:\Programme\I-Pod\iPod\bin\iPodService.exe
O23 - Service: nsdbg07 - Unknown owner - C:\Programme\Abraxas\Enzyklopaedie 2007\deutsch\bin\mysqld.exe" --defaults-file=C:\nsdbg07svr.cnf nsdbg07 (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - E:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Vielen Dank im Voraus!

greetz

chux

Franz1968 · 17.03.2008, 22:55

Hallo,

die Datei

Zitat:

C:\WINDOWS\asapi.dll

werte bitte mal bei Virustotal aus, poste anschließend die kompletten Ergebnisse.

chux · 18.03.2008, 01:47

Hallo Franz,

Erstmal vielen Dank für deine schnelle Antwort.

Ich habs jetzt mehrfach versucht, aber das ist garnicht so leicht mit der besagten .dll Datei.
Am Anfang war sie nämlich nichtmal auffindbar! Das heißt sie existierte garnicht.

Erst wenn ich cs:source starte kann ich sie per Suche finden. Da sie dann allerdings benutzt wird kann ich sie weder hochladen noch kopieren. Der Virenscanner schlägt nach wie vor an.
Sobald ich cs:s dann beende verschwindet die asapi.dll auch wieder aus dem WINDOWS Ordner...

Irgendwelche Ideen?

Gruß

chux

Sabina · 18.03.2008, 11:01

Hallo,

wende bitte Combofix an + poste hier das Log
combofix

chux · 20.03.2008, 00:54

Hi Sabina,

hier das gewünschte Logfile:

ComboFix 08-03-18.1 - Jochen 2008-03-20 0:42:53.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1496 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Jochen\Desktop\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((( Dateien erstellt von 2008-02-19 bis 2008-03-19 ))))))))))))))))))))))))))))))
.

2008-03-09 23:13 . 2008-03-09 23:14 <DIR> d-------- C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\Ventrilo
2008-02-19 00:47 . 2008-02-19 00:47 <DIR> d-------- C:\Programme\Microsoft CAPICOM 2.1.0.2

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-19 23:51 38,237,728 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat
2008-03-19 23:50 1,353,248 --sha-w C:\WINDOWS\system32\drivers\fidbox2.dat
2008-03-19 23:39 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2008-03-19 23:36 523,568 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx
2008-03-19 23:36 137,168 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx
2008-03-16 22:40 --------- d-----w C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\teamspeak2
2008-03-12 00:52 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft Help
2008-03-09 22:12 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-02-18 00:53 --------- d-----w C:\Programme\Microsoft Works
2008-02-18 00:52 --------- d-----w C:\Programme\MSBuild
2008-02-18 00:50 --------- d-----w C:\Programme\Microsoft.NET
2008-02-18 00:47 --------- d-----w C:\Programme\Microsoft Visual Studio 8
2008-02-10 20:51 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\nView_Profiles
2008-01-31 19:24 91,700 ----a-w C:\WINDOWS\system32\drivers\klin.dat
2007-06-05 16:37 18,312 ----a-w C:\Dokumente und Einstellungen\Jochen\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2006-07-25 04:52 31 ----a-w C:\Dokumente und Einstellungen\Jochen\getfile.dat
2007-01-23 19:11 56 --sh--r C:\WINDOWS\system32\2474E2CC52.sys
2007-01-23 19:11 4,182 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( snapshot@2008-03-20_ 0.32.43,71 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-03-19 23:37:52 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_210.dat
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-10-10 20:49 7286784]
"nwiz"="nwiz.exe" [2005-10-10 20:49 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-10-10 20:49 86016]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50 155648]
"CTHelper"="CTHELPER.EXE" [2005-08-07 23:10 16384 C:\WINDOWS\CTHELPER.EXE]
"CTxfiHlp"="CTXFIHLP.EXE" [2005-08-07 23:10 18944 C:\WINDOWS\system32\CTXFIHLP.EXE]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 00:00 90112]
"ISUSPM Startup"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" [2005-08-11 16:30 249856]
"ISUSScheduler"="C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" [2005-08-11 16:30 81920]
"AVP"="C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe" [2007-05-19 21:36 218640]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-11-14 23:43 286720]
"iTunesHelper"="E:\Programme\I-Pod\i-Tunes\iTunesHelper.exe" [2007-11-15 13:11 267048]
"GrooveMonitor"="E:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 07:00 33648]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-03 23:57 15360]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Dienst-Manager.lnk - C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe [2002-12-17 16:23:32 74308]
Microsoft Office.lnk - E:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 00:01:04 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"= sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll sockspy.dll,,C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

[HKLM\~\startupfolder\C:^Dokumente und Einstellungen^All Users^Startmenü^Programme^Autostart^Adobe Reader Speed Launch.lnk]
path=C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Adobe Reader Speed Launch.lnk
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ASUS SmartDoctor]
--a------ 2005-08-08 16:56 1044480 C:\Program Files\ASUS\SmartDoctor\\SmartDoctor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
--a------ 2004-10-21 23:41 57344 e:\Programme\CloneCD\CloneCDTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-03 23:57 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ Lite]
--a------ 2006-07-11 11:06 3144800 E:\Programme\ICQ\ICQLite.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a------ 2007-11-15 13:11 267048 E:\Programme\I-Pod\i-Tunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 09:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]
--a------ 2006-04-07 09:43 237568 E:\PROGRA~1\NOKIAP~1\NOKIAP~1\NOKIAP~1\LAUNCH~1.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2007-11-14 23:43 286720 C:\Programme\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]
-ra------ 2005-10-26 16:17 159744 C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"E:\\Programme\\ICQ\\ICQLite.exe"=
"E:\\Programme\\BitComet\\BitComet.exe"=
"E:\\Programme\\Azureus\\Azureus.exe"=
"E:\\Spiele\\Battlefield 2\\BF2.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"D:\\Rainbow Six - Vegas\\Binaries\\R6Vegas_Game.exe"=
"D:\\Rainbow Six - Vegas\\Binaries\\R6Vegas_Launcher.exe"=
"E:\\Programme\\I-Pod\\i-Tunes\\iTunes.exe"=
"E:\\Programme\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"E:\\Programme\\Microsoft Office\\Office12\\GROOVE.EXE"=
"E:\\Programme\\Microsoft Office\\Office12\\ONENOTE.EXE"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9466:TCP"= 9466:TCP:Azureus

R2 nsdbg07;nsdbg07;"C:\Programme\Abraxas\Enzyklopaedie 2007\deutsch\bin\mysqld.exe" --defaults-file=C:\nsdbg07svr.cnf nsdbg07 []
R2 Vcs;Vcs support;C:\WINDOWS\system32\Drivers\Vcs.sys [2002-12-10 09:11]
R3 ha20x2k;Creative 20X HAL Driver;C:\WINDOWS\system32\drivers\ha20x2k.sys [2005-08-07 22:54]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-04-04 13:58]
S3 SysInteg;SysInteg;C:\WINDOWS\system32\drivers\SysInteg010.sys [2007-11-18 23:32]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3f722469-440b-11da-b85f-806d6172696f}]
\Shell\AutoRun\command - F:\ASUSACPI.exe

.
Inhalt des "geplante Tasks" Ordners
"2007-12-06 01:04:08 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-20 00:50:55
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\nview.dll
.
Zeit der Fertigstellung: 2008-03-20 0:51:48
ComboFix-quarantined-files.txt 2008-03-19 23:51:45
ComboFix2.txt 2008-03-19 23:33:15
.
2008-03-12 00:52:41 --- E O F ---

Vielen Dank für eure Hilfe!!

greetz

chux

Sabina · 20.03.2008, 13:17

Hallo,

wende das bitte an + poste den report
Windows Scan

(von der dll ist nix zu sehen, wahrscheonlich hat sie Kaspersky schon in Quarantäne)

chux · 20.03.2008, 21:02

Ich denke es kommt eher daher, dass die datei immer nur erscheint wenn ich cs:souce starte. Ich habs mit der Suchfunktion von Windows ausprobiert. Ich kann suchen solange ich will, eine asapi.dll ist nicht zu finden.
starte ich aber cs:s und gehe dann wieder auf den desktop, wird die asapi.dll plötzlich von der Suchfunktion aufgeführt. Und bei jedem connecten auf einen Server, bekomme ich eine neue Viranwarnung von Kaspersky, dass die asapi.dll ein Trojaner ist.

Deshalb auch nochmal meine frage:

ist es möglich, dass es sich in diesem fall einfach nur um einen bug von kaspersky handelt? oder kann es wirklich ein trojaner sein?

Vielen Dank für eure Hilfe

achso und das logfile will ich auch nicht unterschlagen:

Die 30 neuesten Dateien im Ordner Windows:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS *****
***** ***** ***** ***** *****

20.03.2008 WindowsUpdate.log 20 52:1.859.247
20.03.2008 QTFont.qfn 20 51:54.156
20.03.2008 0.log 20 50:0
20.03.2008 wiadebug.log 20 50:159
20.03.2008 wiaservc.log 20 50:50
20.03.2008 bootstat.dat 20 50:2.048
20.03.2008 SchedLgU.Txt 01 37:32.618
20.03.2008 system.ini 00 50:227
09.03.2008 NeroDigital.ini 01 53:116
18.02.2008 win.ini 02 01:704
06.12.2007 QTFont.for 02 02:1.409
13.11.2007 boinc.scr 13 45:806.912
13.06.2007 explorer.exe 14 21:1.036.288
01.02.2007 WMSysPr9.prx 19 57:316.640
23.01.2007 FontData.fdb 17 39:12.583
18.12.2006 setupapi.log.0.old 06 55:1.028.868
08.02.2006 mozver.dat 08 52:3.372
06.01.2006 OpPrintServer.INI 19 27:0
10.11.2005 DIIUnin.dat 07 15:31.704
10.11.2005 DIIUnin.pif 07 04:2.829
10.11.2005 DIIUnin.exe 07 04:102.400
04.11.2005 BitComet_Toolbar_Uninstaller_5109.exe 08 41:254.146
29.10.2005 ODBC.INI 18 43:400
26.10.2005 Ascd_tmp.ini 05 18:6.474
24.10.2005 nsreg.dat 17 43:0
24.10.2005 UninstallFirefox.exe 17 42:99.970
23.10.2005 Sti_Trace.log 21 45:0

Die 50 neuesten Dateien im Ordner Windows\system32:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32 *****
***** ***** ***** ***** *****

20.03.2008 wpa.dbl 20 51:2.422
20.03.2008 nvapps.xml 20 51:39.291
20.03.2008 DVCState-{00000005-00000000-00000008-00001102-00000005-00211102}.rfx 01 37:64.988
20.03.2008 BMXStateBkp-{00000005-00000000-00000008-00001102-00000005-00211102}.rfx 01 37:54.672
20.03.2008 settingsbkup.sfm 01 37:1.080
20.03.2008 settings.sfm 01 37:1.080
20.03.2008 BMXState-{00000005-00000000-00000008-00001102-00000005-00211102}.rfx 01 37:54.672
05.03.2008 MRT.exe 17 30:19.148.408
18.02.2008 perfh009.dat 07 08:413.166
18.02.2008 perfc009.dat 07 08:67.260
18.02.2008 perfh007.dat 07 08:431.594
18.02.2008 perfc007.dat 07 08:82.064
18.02.2008 PerfStringBackup.INI 07 08:999.896
18.02.2008 FNTCACHE.DAT 07 05:266.208
11.01.2008 pngfilt.dll 06 32:44.544
19.12.2007 dxtmsft.dll 23 48:347.136
13.12.2007 TZLog.log 00 01:387.268
08.12.2007 mshtml.dll 06 04:3.592.192
07.12.2007 url.dll 03 04:105.984
07.12.2007 webcheck.dll 03 04:233.472
07.12.2007 urlmon.dll 03 04:1.159.680
07.12.2007 mstime.dll 03 04:671.232
07.12.2007 occache.dll 03 04:102.912
07.12.2007 wininet.dll 03 04:824.832
07.12.2007 msrating.dll 03 04:193.024
07.12.2007 mshtmled.dll 03 04:478.208
07.12.2007 inetcpl.cpl 03 04:1.831.424
07.12.2007 msfeeds.dll 03 04:459.264
07.12.2007 msfeedsbs.dll 03 04:52.224
07.12.2007 jsproxy.dll 03 04:27.648
07.12.2007 ieframe.dll 03 04:6.066.176
07.12.2007 iertutil.dll 03 04:267.776
07.12.2007 iernonce.dll 03 04:44.544
07.12.2007 iedkcs32.dll 03 04:384.512
07.12.2007 advpack.dll 03 04:124.928
07.12.2007 extmgr.dll 03 04:133.120
07.12.2007 ieapfltr.dll 03 04:383.488
07.12.2007 dxtrans.dll 03 04:214.528
07.12.2007 ieakeng.dll 03 04:153.088
07.12.2007 ieaksie.dll 03 04:230.400
07.12.2007 icardie.dll 03 04:63.488
06.12.2007 ieudinit.exe 12 00:13.824
06.12.2007 ie4uinit.exe 12 00:70.656
06.12.2007 ieakui.dll 05 59:161.792
04.12.2007 oleaut32.dll 19 40:550.912
14.11.2007 QuickTime.qts 23 43:49.152
14.11.2007 QuickTimeVR.qtx 23 43:65.536

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32\drivers\etc\hosts *****
***** ***** ***** ***** *****

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
# für Windows 2000 verwendet wird.
#
# Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
# Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
# Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
# Hostnamen stehen.
# Die IP-Adresse und der Hostname müssen durch mindestens ein
# Leerzeichen getrennt sein.
#
# Zusätzliche Kommentare (so wie in dieser Datei) können in
# einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
# aber müssen mit dem Zeichen '#' eingegeben werden.
#
# Zum Beispiel:
#
# 102.54.94.97 rhino.acme.com # Quellserver
# 38.25.63.10 x.acme.com # x-Clienthost

127.0.0.1 localhost

***** ***** ***** ***** *****
***** Scanning Processe *****
***** ***** ***** ***** *****

Microsoft Windows XP [Version 5.1.2600]

http://www.paules-pc-forum.de
***** Malware Team *****

***** Ende des Scans 20.03.2008 um 20:55:17,51 ***

greetz

chux

Sabina · 20.03.2008, 21:16

1.
Start > Ausführen --> reinschreiben --> cmd
und ok. kopiere rein

Code:

ATTFilter

dir /s /a "c:\asapi*.*" > c:\find.txt & start notepad c:\find.txt

poste, was erscheint

--

2.
wende winpfind an + poste den report (am besten als txt-Datei - als Anhang hochladen)
WinPFind3

chux · 28.03.2008, 09:13

So da bin ich wieder war mal ne woche im urlaub

beim ersten test wurde nichts gefunden.

beim zweiten schreit kaspersky, dass die datei ein virus sein soll?? stimmt das so??

danke

greetz

chux

18.03.2008, 11:01	#4
Sabina	asapi.dll bzw PE_Patch.UPX//UPX Hallo, wende bitte Combofix an + poste hier das Log combofix __________________ MfG Sabina

20.03.2008, 13:17	#6
Sabina	asapi.dll bzw PE_Patch.UPX//UPX Hallo, wende das bitte an + poste den report Windows Scan (von der dll ist nix zu sehen, wahrscheonlich hat sie Kaspersky schon in Quarantäne) __________________ --> asapi.dll bzw PE_Patch.UPX//UPX

20.03.2008, 21:16	#8
Sabina	asapi.dll bzw PE_Patch.UPX//UPX 1. Start > Ausführen --> reinschreiben --> cmd und ok. kopiere rein Code: ATTFilter dir /s /a "c:\asapi." > c:\find.txt & start notepad c:\find.txt poste, was erscheint -- 2. wende winpfind an + poste den report (am besten als txt-Datei - als Anhang hochladen) WinPFind3 __________________ MfG Sabina

28.03.2008, 09:13	#9
chux	asapi.dll bzw PE_Patch.UPX//UPX So da bin ich wieder war mal ne woche im urlaub beim ersten test wurde nichts gefunden. beim zweiten schreit kaspersky, dass die datei ein virus sein soll?? stimmt das so?? danke greetz chux

asapi.dll bzw PE_Patch.UPX//UPX

Log-Analyse und Auswertung: asapi.dll bzw PE_Patch.UPX//UPX