Spyware, fieser Virus-Windows Security Alert

B33N_1991 · 28.03.2008, 13:54

Hallo zusammen,
ich habe seit kurzem einen Virus oder ähnliches auf meinem PC. Dieser Virus öffnet einfach Seiten von angeblichen Antivirusprogrammen im Internet-Explorer, obwohl ich diesen so gut wie nie benutze.
Außerdem öffnen sich alle paar Minuten Fenster, wie z.B.: Windows Security Alert-Windows has detected an Internet attack attempt...Somebody's trying to infect your PC with spyware or harmful viruses. Run full system scan now to protect your PC from Internet attacks, hijacking attempts and spyware! Click here to download spyware remover for total protection.
Auch diese Meldung kommt zwischendurch:Security Warning!
Worm.Win32.NetBooster detected on your machine. This virus is distributed via the Internet through e-mail and Active-X objects. The womr has its own SMTP engine which means it gathers e-mails form your local computer and re-distributes itself. In worst cases this worm can allow attackers to access your computer, stealing passwords and personal data. This process should be removed from your system.
Type:Virus
System Affected: Windows 2000, NT, ME, XP, Vista
Security Risk (0-5): 5
Recomendations: Click Yes to remove it from your Pc immediately.

Und es kommen beim Anmelden von Windows 3 Desktopverknüpfungen, die angebliche Antivirusprogramme sind. Darüber hinaus leuchtet ab und zu in der Taskleiste ein rotes Kreuz auf und es öffnet sich eine Sprechblase, in der ähnliches, s.o., enthalten ist.
Wäre nett, wenn ich schnell Antwort bekäme. Im Voraus schon einmal danke =)
Euer Ben

**Sunny** · 28.03.2008, 14:44

Hallo B33N_1991 und

Arbeite zunächst diese Punkte ab, damit wir einen besseren Überblick und mehr Informationen zu deinem System bekommen:

Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis

-Suche die Datei HiJackThis.exe und benenne sie um in 'This.exe'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.exe
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)

CCleaner

Temporäre Dateien mit CCleaner bereinigen
Download CCleaner und installiere ihn, (klicke die Toolbar weg!).

Danach CCleaner starten und => unter options settings => german einstellen.

Gehe auf den Button links oben "Cleaner", setze Häkchen unter Reiter "Windows"
(alle außer "Eingabefeld Verlauf" und bei "Erweitert" nur ein Häkchen bei "Alte Prefetchdaten" und "Benutzerdefinierte Dateien und Ordner").

Wechsel zum Reiter "Anwendungen", dort alle Häkchen setzen außer bei Firefox/Mozilla (falls vorhanden) "Gespeicherte Formulardaten".

Starte nun den CCleaner, indem Du unten auf den Button "Analysieren" klickst. Wenn die Analyse fertig ist, klicke auf den Button "Starte CCleaner".

ComboFix

-Lade dir das Tool hier herunter -> KLICK

Sieh dir folgende Seite genau an, und wende das Combofix so an wie es dort eingestellt ist:

Anleitung Combofix

B33N_1991 · 28.03.2008, 14:56

Ok Sunny,
vielen Dank erstmal.
Hier das Logfile von HijackThis:

Logfile of HijackThis v1.99.1
Scan saved at 14:54:00, on 28.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 SP2 (7.00.6000.16608)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\wanmpsvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\DitExp.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programme\QIP\qip.exe
C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
C:\WINDOWS\CNYHKey.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Opera\Opera.exe
D:\Programme\a-squared Anti-Malware\a2service.exe
D:\Programme\a-squared Anti-Malware\a2wizard.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Dokumente und Einstellungen\Ben\Desktop\This.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NI.UGA6PU_0001_N120M1202] "c:\dokumente und einstellungen\ben\anwendungsdaten\install_de[1].exe"
O4 - HKLM\..\Run: [a-squared] "D:\Programme\a-squared Anti-Malware\a2guard.exe"
O4 - HKLM\..\RunOnce: [IERESETATTRIB] %SystemRoot%\system32\cmd.exe /d /q /c %SystemRoot%\system32\ieudinit.exe -ResetFileAttributes
O4 - HKLM\..\RunOnce: [IERESETICONS] %SystemRoot%\system32\cmd.exe /d /q /c %SystemRoot%\iereseticons.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKCU\..\Run: [QIP2005] D:\Programme\QIP\qip.exe
O4 - Startup: Registration-InstantCopy.lnk = C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = C:\Programme\AOL 9.0\aoltray.exe
O4 - Global Startup: Image Transfer.lnk = C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/a-UNO1/GAME_UNO1.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase370.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097097604265
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game14.zylomgames.com/activex/zylomgamesplayer.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{484662B2-4CB5-4F3F-BF5A-E1255CF6CA21}: NameServer = 192.168.178.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: vbgtorfd - {A2EC74DD-F20C-451B-9E26-85E6B183AC8D} - C:\WINDOWS\vbgtorfd.dll
O21 - SSODL: dwnrpofk - {3B700D98-5555-421D-B291-4ECF5221FBFA} - C:\WINDOWS\dwnrpofk.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - D:\Programme\a-squared Anti-Malware\a2service.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AOL Connectivity Service (AOL ACS) - AOL LLC - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: Windows-Firewall/Gemeinsame Nutzung der Internetverbindung (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing)
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: WAN Miniport (ATW) Service (WANMiniportService) - America Online, Inc. - C:\WINDOWS\wanmpsvc.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

**Sunny** · 28.03.2008, 14:58

zusätzlich zum CCleaner und combofix, bitte folgendes ausführen:

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

c:\dokumente und einstellungen\ben\anwendungsdaten\install_de[1].exe
c:\windows\system32\ieudinit.exe
c:\windows\system32\iereseticons.exe

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

B33N_1991 · 28.03.2008, 16:00

Gut, zu den ersten beiden Datein habe ich ein Ergebnis bekommen, die letzte habe ich nicht gefunden

.

Datei ieudinit.exe empfangen 2008.03.28 15:27:13 (CET)

Antivirus;Version;letzte aktualisierung;Ergebnis
AhnLab-V3;2008.3.26.0;2008.03.28;-
AntiVir;7.6.0.78;2008.03.28;-
Authentium;4.93.8;2008.03.28;-
Avast;4.7.1098.0;2008.03.28;-
AVG;7.5.0.516;2008.03.28;-
BitDefender;7.2;2008.03.28;-
CAT-QuickHeal;9.50;2008.03.28;-
ClamAV;0.92.1;2008.03.28;-
DrWeb;4.44.0.09170;2008.03.28;-
eSafe;7.0.15.0;2008.03.18;-
eTrust-Vet;31.3.5651;2008.03.28;-
Ewido;4.0;2008.03.28;-
F-Prot;4.4.2.54;2008.03.27;-
F-Secure;6.70.13260.0;2008.03.28;-
FileAdvisor;1;2008.03.28;-
Fortinet;3.14.0.0;2008.03.28;-
Ikarus;T3.1.1.20;2008.03.28;-
Kaspersky;7.0.0.125;2008.03.28;-
McAfee;5261;2008.03.27;-
Microsoft;1.3301;2008.03.28;-
NOD32v2;2981;2008.03.28;-
Norman;5.80.02;2008.03.26;-
Panda;9.0.0.4;2008.03.28;-
Prevx1;V2;2008.03.28;-
Rising;20.37.41.00;2008.03.28;-
Sophos;4.27.0;2008.03.28;-
Sunbelt;3.0.978.0;2008.03.18;-
Symantec;10;2008.03.28;-
TheHacker;6.2.92.257;2008.03.27;-
VBA32;3.12.6.3;2008.03.25;-
Webwasher-Gateway;6.6.2;2008.03.28;-

weitere Informationen
File size: 13824 bytes
MD5: 1dacf4474566f7394195f8a4952acadf
SHA1: f1fc10537c773a12c991576ae03fa5336589afee
PEiD: -

Datei install_de_1_.exe empfangen 2008.03.28 15:44:23 (CET)

Antivirus;Version;letzte aktualisierung;Ergebnis
AhnLab-V3;2008.3.26.0;2008.03.28;-
AntiVir;7.6.0.78;2008.03.28;SPR/Fake.Syscontrol
Authentium;4.93.8;2008.03.28;-
Avast;4.7.1098.0;2008.03.28;-
AVG;7.5.0.516;2008.03.28;Downloader.Purityscan.AC
BitDefender;7.2;2008.03.28;-
CAT-QuickHeal;9.50;2008.03.28;(Suspicious) - DNAScan
ClamAV;0.92.1;2008.03.28;-
DrWeb;4.44.0.09170;2008.03.28;-
eSafe;7.0.15.0;2008.03.18;-
eTrust-Vet;31.3.5651;2008.03.28;-
Ewido;4.0;2008.03.28;-
F-Prot;4.4.2.54;2008.03.27;W32/Heuristic-162!Eldorado
F-Secure;6.70.13260.0;2008.03.28;-
FileAdvisor;1;2008.03.28;-
Fortinet;3.14.0.0;2008.03.28;Dloader.A!tr
Ikarus;T3.1.1.20;2008.03.28;not-a-virus

ownloader.Win32.WinFixer.fa
Kaspersky;7.0.0.125;2008.03.28;not-a-virus

ownloader.Win32.WinFixer.fa
McAfee;5261;2008.03.27;Downloader.gen.a
Microsoft;1.3301;2008.03.28;Program:Win32/WinFixer
NOD32v2;2981;2008.03.28;a variant of Win32/Adware.WinFixer
Norman;5.80.02;2008.03.26;W32/DLoader.FOYL
Panda;9.0.0.4;2008.03.28;Suspicious file
Prevx1;V2;2008.03.28;Downloader.Purityscan.AC
Rising;20.37.41.00;2008.03.28;Trojan.DL.Win32.WinFixer.au
Sophos;4.27.0;2008.03.28;Sus/ComPack-C
Sunbelt;3.0.978.0;2008.03.18;VIPRE.Suspicious
Symantec;10;2008.03.28;Downloader.MisleadApp
TheHacker;6.2.92.257;2008.03.27;-
VBA32;3.12.6.3;2008.03.25;-
VirusBuster;4.3.26:9;2008.03.27;-
Webwasher-Gateway;6.6.2;2008.03.28;Riskware.Fake.Syscontrol

weitere Informationen
File size: 251920 bytes
MD5: bc95339e95cef900ab912d83f2f3a4fd
SHA1: 05855e2355568583fa981abfc6538e6a9e2c2ca4
PEiD: ASProtect v1.23 RC1
packers: PE_Patch, Aspack
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=B61BAAA210D34B34D87E032117CC6200431A5A42

Gruß
Ben

**Sunny** · 28.03.2008, 17:34

Hast du die anderen Programme auch ausgeführt so wie es hier beschrieben wurde? -> http://www.trojaner-board.de/331213-post2.html

B33N_1991 · 28.03.2008, 17:42

Jop, habe ich gemacht...
Gibts ein Problem bei den Ergebnissen, oder warum fragst du?

**Sunny** · 28.03.2008, 17:46

Zitat:

Zitat von B33N_1991

Gibts ein Problem bei den Ergebnissen, oder warum fragst du?

Ja es gibt Probleme bei den Ergbnissen, denn du hast nur die Dateien überprüfen lassen und nicht COMBOFIX UND CRAPCLEANER ausgeführt...

B33N_1991 · 28.03.2008, 17:47

Hm...echt nicht

xD
Hier is aba das Ergebnis von Combofix
ComboFix 08-03-26.3 - Ben 2008-03-28 17:32:54.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.848 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Ben\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\myglobalsearch
C:\Programme\myglobalsearch\bar\1.bin\M9FFXTBR.JAR
C:\Programme\myglobalsearch\bar\1.bin\M9FFXTBR.MANIFEST
C:\Programme\myglobalsearch\bar\1.bin\M9NTSTBR.JAR
C:\Programme\myglobalsearch\bar\1.bin\M9NTSTBR.MANIFEST
C:\Programme\myglobalsearch\bar\1.bin\M9PLUGIN.DLL
C:\Programme\myglobalsearch\bar\1.bin\NPMYGLSH.DLL
C:\Programme\myglobalsearch\bar\Cache\00098C75.bin
C:\Programme\myglobalsearch\bar\Cache\00098EE6.bin
C:\Programme\myglobalsearch\bar\Cache\000991A5.bin
C:\Programme\myglobalsearch\bar\Cache\000EB580
C:\Programme\myglobalsearch\bar\Cache\files.ini
C:\Programme\myglobalsearch\bar\History\search
C:\Programme\myglobalsearch\bar\Settings\prevcfg.htm
C:\svchost.exe
C:\WINDOWS\Fonts\acrsecB.fon
C:\WINDOWS\Fonts\acrsecI.fon
C:\WINDOWS\qvdntlmw.dll
C:\WINDOWS\smdat32a.sys
C:\WINDOWS\smdat32m.sys
D:\Autorun.inf

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-28 bis 2008-03-28 ))))))))))))))))))))))))))))))
.

2008-03-28 15:01 . 2008-03-28 15:01 <DIR> d----c--- C:\Dokumente und Einstellungen\Ben\SmitfraudFix
2008-03-28 11:26 . 2008-03-28 11:26 230 --a--c--- C:\WINDOWS\system32\spupdsvc.inf
2008-03-28 11:21 . 2008-03-28 11:27 1,374 --a--c--- C:\WINDOWS\imsins.BAK
2008-03-28 00:08 . 2008-03-28 00:08 <DIR> d----c--- C:\Dokumente und Einstellungen\Ben\DoctorWeb
2008-03-27 23:51 . 2008-03-28 15:14 3,674 --a--c--- C:\WINDOWS\system32\tmp.reg
2008-03-27 23:39 . 2008-03-28 13:41 <DIR> d----c--- C:\Programme\Windows Live Safety Center
2008-03-27 23:30 . 2008-03-27 23:30 <DIR> d----c--- C:\Programme\SichererAntivirus
2008-03-19 16:55 . 2008-03-19 16:56 <DIR> d----c--- C:\Programme\Safari
2008-03-18 22:30 . 2007-03-28 18:42 29,704 --a--c--- C:\WINDOWS\system32\uxtuneup.dll
2008-03-03 22:34 . 2008-03-03 22:34 <DIR> d----c--- C:\WINDOWS\Sun
2008-03-03 19:01 . 2008-03-03 19:01 <DIR> d----c--- C:\Programme\Teamspeak2_RC2
2008-03-03 13:08 . 2008-03-03 13:10 <DIR> d-a--c--- C:\Counter-Strike 1.6
2008-02-28 14:50 . 2001-11-30 16:49 98,304 --a--c--- C:\WINDOWS\system32\Sbe6@deu.dll

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-27 23:47 --------- dc----w C:\Programme\Alt WAV MP3 WMA OGG Converter
2008-03-27 14:18 22,328 -c--a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-03-27 14:18 107,832 -c--a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-03-24 11:07 --------- dc-h--w C:\Programme\InstallShield Installation Information
2008-03-21 01:16 --------- dc----w C:\Dokumente und Einstellungen\Ben\Anwendungsdaten\Hamachi
2008-03-20 21:10 98,304 -c--a-w C:\WINDOWS\system32\CmdLineExt.dll
2008-03-19 20:51 --------- dc----w C:\Programme\ICQLite
2008-03-18 21:24 --------- dc----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-03-18 18:15 22,760 -c--a-w C:\Dokumente und Einstellungen\Ben\Anwendungsdaten\wklnhst.dat
2008-03-14 06:29 921,632 -c--a-w C:\PA7311.DAT
2008-03-11 20:08 --------- dc----w C:\Programme\Java
2008-03-04 15:05 --------- dc----w C:\Dokumente und Einstellungen\Ben\Anwendungsdaten\Xfire
2008-03-01 09:11 --------- dc----w C:\Programme\Gemeinsame Dateien\Symantec Shared
2008-02-27 14:27 --------- dc----w C:\Programme\iTunes
2008-02-27 14:27 --------- dc----w C:\Programme\iPod
2008-02-27 14:25 --------- dc----w C:\Programme\QuickTime
2008-02-26 13:20 --------- dc----w C:\Programme\Opera
2008-02-21 01:57 54,608 -c--a-w C:\WINDOWS\system32\xfcodec.dll
2008-02-19 13:38 --------- dc----w C:\Programme\Gemeinsame Dateien\Adobe
2008-01-31 13:49 --------- dc----w C:\Programme\Canon
2008-01-28 13:25 --------- dc----w C:\Programme\TuneUp Utilities 2007
2008-01-08 13:35 66,872 -c--a-w C:\WINDOWS\system32\PnkBstrA.exe
2008-01-08 13:29 22,328 -c--a-w C:\Dokumente und Einstellungen\Ben\Anwendungsdaten\PnkBstrK.sys
2007-12-25 22:23 92,064 -c--a-w C:\Dokumente und Einstellungen\Ben\mqdmmdm.sys
2007-12-25 22:23 9,232 -c--a-w C:\Dokumente und Einstellungen\Ben\mqdmmdfl.sys
2007-12-25 22:23 79,328 -c--a-w C:\Dokumente und Einstellungen\Ben\mqdmserd.sys
2007-12-25 22:23 66,656 -c--a-w C:\Dokumente und Einstellungen\Ben\mqdmbus.sys
2007-12-25 22:23 6,208 -c--a-w C:\Dokumente und Einstellungen\Ben\mqdmcmnt.sys
2007-12-25 22:23 5,936 -c--a-w C:\Dokumente und Einstellungen\Ben\mqdmwhnt.sys
2007-12-25 22:23 4,048 -c--a-w C:\Dokumente und Einstellungen\Ben\mqdmcr.sys
2007-12-25 22:23 25,600 -c--a-w C:\Dokumente und Einstellungen\Ben\usbsermptxp.sys
2007-12-25 22:23 22,768 -c--a-w C:\Dokumente und Einstellungen\Ben\usbsermpt.sys
2006-03-29 12:07 1 -c--a-w C:\Dokumente und Einstellungen\Ben\SI.bin
2006-02-15 12:36 109,070 -c--a-w C:\Programme\INSTALL.LOG
2005-04-29 13:50 60,776 -c--a-w C:\Dokumente und Einstellungen\Ben\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2003-08-14 17:13 40,960 -c--a-w C:\Programme\Uninstall_PCM.exe
2002-02-28 22:33 3,063 -c--a-w C:\Programme\CheeseCampers.txt
2001-11-21 22:23 3,677 -c--a-w C:\Programme\52-TopTenPack.txt
2001-11-16 18:32 61,540 -c--a-w C:\Programme\52.wad
2001-10-12 19:14 882,908 -c--a-w C:\Programme\mad_spain_addon.wad
2001-10-12 09:54 3,846,804 -c--a-w C:\Programme\mad_spain.wad
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 08:57 15360]
"CursorXP"="C:\Programme\CursorXP\CursorXP.exe" [2005-01-19 16:34 128000]
"Picasa Media Detector"="C:\Programme\Picasa2\PicasaMediaDetector.exe" [2007-10-23 22:18 443968]
"QIP2005"="D:\Programme\QIP\qip.exe" [2008-03-21 23:32 3254784]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cmaudio"="cmicnfg.cpl" [2003-09-12 19:07 2244608 C:\WINDOWS\CMICNFG.CPL]
"Dit"="Dit.exe" [2002-08-28 12:43 73728 C:\WINDOWS\Dit.exe]
"CHotkey"="mHotkey.exe" [2003-06-27 14:39 506368 C:\WINDOWS\mHotkey.exe]
"PCMService"="C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe" [2003-06-24 14:23 61440]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-06-28 20:05 344064]
"PRISMSTA.EXE"="PRISMSTA.exe" [2003-08-04 14:54 215552 C:\WINDOWS\system32\PRISMSTA.exe]
"PinnacleDriverCheck"="C:\WINDOWS\System32\PSDrvCheck.exe" [2003-05-28 15:37 394240]
"AOLDialer"="C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe" [2006-11-17 12:05 71216]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2003-09-26 13:53 151597]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 18:41 249896]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-10-21 04:29 7770112]
"nwiz"="nwiz.exe" [2006-10-21 04:32 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-10-21 04:30 81920]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2008-01-31 23:13 385024]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2008-02-19 13:10 267048]
"NI.UGA6PU_0001_N120M1202"="c:\dokumente und einstellungen\ben\anwendungsdaten\install_de[1].exe" [ ]
"a-squared"="D:\Programme\a-squared Anti-Malware\a2guard.exe" [2008-01-07 17:56 1816208]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 08:57 15360]

C:\Dokumente und Einstellungen\Ben\Startmen\Programme\Autostart\
Registration-InstantCopy.lnk - C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe [2002-09-26 12:18:00 245760]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
AOL 9.0 Tray-Symbol.lnk - C:\Programme\AOL 9.0\aoltray.exe [2004-10-07 19:35:59 156784]
Image Transfer.lnk - C:\Programme\Sony Corporation\Image Transfer\SonyTray.exe [2004-05-31 10:55:35 73728]
Kontrollfeld fr die kabellose Tastatur.lnk - C:\WINDOWS\CNYHKey.exe [2003-10-01 20:50:56 5798912]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 00:01:04 83360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\WINDOWS\\system32\\dpnsvr.exe"=
"C:\\Programme\\AOL 9.0\\waol.exe"=
"C:\\Programme\\Real\\RealPlayer\\realplay.exe"=
"C:\\Programme\\ICQLite\\ICQLite.exe"=
"C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLDial.exe"=
"C:\\Programme\\Gemeinsame Dateien\\AOL\\ACS\\AOLAcsd.exe"=
"C:\\WINDOWS\\system32\\P2P Networking\\P2P Networking.exe"=
"C:\\Programme\\Gemeinsame Dateien\\Synacast\\SynaLive\\PE.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programme\\Opera\\Opera.exe"=
"C:\\Programme\\concept design\\onlineTV 3\\onlineTV.exe"=
"C:\\Programme\\iTunes\\iTunes.exe"=
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"4577:TCP"= 4577:TCP

pLive
"8458:UDP"= 8458:UDP

pLive
"21909:TCP"= 21909:TCP:BitComet 21909 TCP
"21909:UDP"= 21909:UDP:BitComet 21909 UDP
"7775:UDP"= 7775:UDP:UT 2003
"7776:UDP"= 7776:UDP:UT 2003
"7777:UDP"= 7777:UDP:UT 2003
"7778:UDP"= 7778:UDP:UT 2003
"7779:UDP"= 7779:UDP:UT 2003

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-09-09 11:34]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-09 11:34]
R2 LogWatch;Ereignisprotokoll-Überwachung;C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe [2002-09-20 15:29]
R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 08:58]
R3 Cap7134;MEDION (7134) WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2003-06-05 07:04]
R3 PAC7311;VGA SoC PC-Camera;C:\WINDOWS\system32\DRIVERS\PA707UCM.SYS [2005-10-18 11:48]
R3 PhTVTune;MEDION TV-TUNER 7134 MK2/3;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2003-06-12 07:47]
S3 ALNetG;ALNetG Wireless Network Adapter Service;C:\WINDOWS\system32\DRIVERS\ALNetG.sys [2004-04-07 04:32]
S3 ASPI;Advanced SCSI Programming Interface Driver;C:\WINDOWS\System32\DRIVERS\ASPI32.sys [1999-09-10 11:06]
S3 CA_LIC_CLNT;CA-Lizenz-Client;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe [2002-09-20 15:27]
S3 CA_LIC_SRVR;CA-Lizenzserver;C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe [2002-09-20 15:41]
S3 PRISM_A00;PRISM 802.11g Driver;C:\WINDOWS\system32\DRIVERS\PRISMA00.sys [2003-08-07 15:36]
S3 ss_bus;Samsung Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys [2004-09-18 14:04]
S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys [2004-09-17 14:05]
S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys [2004-09-17 14:05]
S3 XDva016;XDva016;C:\WINDOWS\system32\XDva016.sys []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - D:\setupSNK.exe

.
Inhalt des "geplante Tasks" Ordners
"2008-03-26 14:14:04 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programme\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-28 17:35:04
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\HKCYDLL.dll
.
Zeit der Fertigstellung: 2008-03-28 17:35:47
ComboFix-quarantined-files.txt 2008-03-28 16:35:28
22 Verzeichnis(se), 6,264,070,144 Bytes frei
25 Verzeichnis(se), 6,239,858,688 Bytes frei
.
2008-03-28 15:48:48 --- E O F ---

**Sunny** · 28.03.2008, 19:46

Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:

C:\WINDOWS\system32\xfcodec.dll
C:\WINDOWS\system32\PRISMSTA.exe
c:\dokumente und einstellungen\ben\anwendungsdaten\install_de[1].exe
C:\WINDOWS\HKCYDLL.dll

Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

pekul · 04.04.2008, 22:24

Ich habe genau das gleiche Problem!

[edit]
bitte eröffne, wie jeder andere hier auch, für dein problem einen eigenen beitrag
nur so wird sichergestellt, das jedem user übersichtlich und individuell geholfen werden kann

danke
GUA

[/edit]

28.03.2008, 17:34	#6
Sunny Administrator > Competence Manager	Spyware, fieser Virus-Windows Security Alert Hast du die anderen Programme auch ausgeführt so wie es hier beschrieben wurde? -> http://www.trojaner-board.de/331213-post2.html __________________ --> Spyware, fieser Virus-Windows Security Alert

Spyware, fieser Virus-Windows Security Alert

Plagegeister aller Art und deren Bekämpfung: Spyware, fieser Virus-Windows Security Alert