win32.shark.af

Sprengmeiste · 30.03.2008, 11:25

Hallo! Mein Spybot meldet Win32.shark.af - kann es aber nicht effektiv entfernen. Counterpsy und Avira finden gar nix.

Hier mein HJack logfile - wollte die Version 2.0.2. rutneraden vom Netzt funkt aber nicht, daher noch die 1.99.1

Vielleicht kann mir einer helfen, habe schon gegoogelt wie wild aber keine effektive Hilfe gefunden.

Weiters wollte ich Silent Runners.vbs ausführen, aber ich bekomme den download von http://www.silentrunners.org/ nicht auf. Kriege eine WINDOWS SCRIPT HOST Meldung

Der Zugriff auf Windows Script Host wurde für diesen Computer deaktiviert. Wenden Sie sich an IIhren Admin.... Ich bin der Admin aber leider scheinbar zu doof um das zu aktivieren.

BITTE LIEBE TROJANER-BOARD Community helft mir! Hijackthis und SMitfraud (Schreit auch wegen der Windows Script Host) haben das ergeben.

Logfile of HijackThis v1.99.1
Scan saved at 12:15:18, on 30.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)

Running processes:
M:\WINDOWS\System32\smss.exe
M:\WINDOWS\system32\winlogon.exe
M:\WINDOWS\system32\services.exe
M:\WINDOWS\system32\lsass.exe
M:\WINDOWS\system32\svchost.exe
M:\WINDOWS\System32\svchost.exe
M:\WINDOWS\system32\spoolsv.exe
M:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
M:\WINDOWS\Explorer.EXE
M:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
M:\WINDOWS\system32\svchost.exe
M:\Programme\Analog Devices\SoundMAX\smax4.exe
M:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
M:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe
M:\WINDOWS\system32\ctfmon.exe
M:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDClock.exe
M:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDPop3.exe
M:\Programme\Logitech\GamePanel Software\LCD Manager\Applets\LCDMedia.exe
M:\Programme\Microsoft Office\Office12\OUTLOOK.EXE
M:\Programme\Internet Explorer\iexplore.exe
M:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe
M:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
M:\Programme\Spybot - Search & Destroy\SpybotSD.exe
M:\Programme\Internet Explorer\iexplore.exe
M:\Programme\Internet Explorer\iexplore.exe
M:\Programme\Internet Explorer\iexplore.exe
M:\Programme\WinRAR\WinRAR.exe
M:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.078\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - M:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - M:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SoundMAXPnP] M:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "M:\Programme\Analog Devices\SoundMAX\smax4.exe" /tray
O4 - HKLM\..\Run: [avgnt] "M:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE M:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Launch LCDMon] "M:\Programme\Logitech\GamePanel Software\LCD Manager\LCDMon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "M:\Programme\Logitech\GamePanel Software\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [SBCSTray] M:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] M:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Mozilla update check] "M:\WINDOWS\system32\Security Center update check.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] M:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] M:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Skype] "M:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Windows Update] M:\Programme\system_guard.exe
O4 - HKCU\..\Run: [Mozilla update check] "M:\WINDOWS\system32\Security Center update check.exe"
O4 - Startup: Registration Ghost Recon Advanced Warfighter.LNK = M:\Spiele\Ghost Recon Advanced Warfighter\Support\Register\RegistrationReminder.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://M:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://M:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://M:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://M:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://M:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://M:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://M:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://M:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://M:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - M:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - M:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - M:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - M:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - M:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - M:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O15 - Trusted Zone: http://www.ebay.at
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1202491527953
O17 - HKLM\System\CCS\Services\Tcpip\..\{D9D62F39-468F-4232-B257-97F9CFECB905}: NameServer = 195.34.133.21,195.34.133.22
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - M:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - M:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - M:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - M:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - M:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - M:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - M:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - M:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - M:\Programme\Sunbelt Software\CounterSpy\SBCSSvc.exe

____________________________________________________________

SmitFraudFix v2.309

Scan done at 12:23:08,44, 30.03.2008
Run from M:\Dokumente und Einstellungen\Administrator\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

»»»»»»»»»»»»»»»»»»»»»»»» hosts

hosts file corrupted !

127.0.0.1 www.legal-at-spybot.info
127.0.0.1 legal-at-spybot.info

»»»»»»»»»»»»»»»»»»»»»»»» M:\

»»»»»»»»»»»»»»»»»»»»»»»» M:\WINDOWS

»»»»»»»»»»»»»»»»»»»»»»»» M:\WINDOWS\system

»»»»»»»»»»»»»»»»»»»»»»»» M:\WINDOWS\Web

»»»»»»»»»»»»»»»»»»»»»»»» M:\WINDOWS\system32

»»»»»»»»»»»»»»»»»»»»»»»» M:\WINDOWS\system32\LogFiles

»»»»»»»»»»»»»»»»»»»»»»»» M:\Dokumente und Einstellungen\Administrator

»»»»»»»»»»»»»»»»»»»»»»»» M:\Dokumente und Einstellungen\Administrator\Application Data

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

»»»»»»»»»»»»»»»»»»»»»»»»

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

»»»»»»»»»»»»»»»»»»»»»»»» M:\Programme

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="M:\\WINDOWS\\system32\\userinit.exe,"
"System"=""

»»»»»»»»»»»»»»»»»»»»»»»» Rustock

»»»»»»»»»»»»»»»»»»»»»»»» DNS

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

»»»»»»»»»»»»»»»»»»»»»»»» End

BataAlexander · 30.03.2008, 13:02

Wenn Shark - dann ists blöd.

Dann ist der Rechner kompromittiert.

Diese beiden Dateien

M:\Programme\system_guard.exe
M:\WINDOWS\system32\Security Center update check.exe

wenn möglich bei VirusTotal - Free Online Virus and Malware Scan hochladen und auswerten lassen.
Das Ergebnis hier posten, incl. MD5/SHA1.

Heike · 30.03.2008, 13:15

1) sharK fliegt nicht auf den PC
2) sharK ist teilweise "nette" Beigabe bei Cracks ( da treffen sich dann die Illegalen :aplaus: )
3) formatieren
4) alle Passwörter ändern
5) ändere Dein Verhalten im Internet

have fun,
Heike

Sprengmeiste · 30.03.2008, 17:43

1. Danke für die Info - Versuche gerade die Dateien hochzuladen! Ergebnisse werden gepostet.

2. Neu aufsetzen - ok damit kann ich leben - aber Kompromittiert ist gut und schön, kann ich meine eigenen Dateien behalten oder sind die auch verseucht!? Wie sieht es da aus?

3 Ja es ist passiert wollte adobe audition ausprobieren bevor ich mir so eine teure Version kaufe. War ein Fehler - Dafür hats mich jetzt eh erwischt.

Sprengmeiste · 30.03.2008, 17:50

die system_guard.exe geht nicht! Zu groß!!

Datei Security_Center_update_check.exe

empfangen 2008.03.30 18:41:21 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt

Ergebnis: 6/32 (18.75%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 14.
Geschätzte Startzeit is zwischen 84 und 120 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.29.0 2008.03.29 -
AntiVir 7.6.0.78 2008.03.28 -
Authentium 4.93.8 2008.03.30 -
Avast 4.7.1098.0 2008.03.29 -
AVG 7.5.0.516 2008.03.30 -
BitDefender 7.2 2008.03.30 -
CAT-QuickHeal 9.50 2008.03.28 -
ClamAV 0.92.1 2008.03.30 -
DrWeb 4.44.0.09170 2008.03.30 -
eSafe 7.0.15.0 2008.03.30 -
eTrust-Vet 31.3.5653 2008.03.29 -
Ewido 4.0 2008.03.30 -
F-Prot 4.4.2.54 2008.03.30 -
F-Secure 6.70.13260.0 2008.03.29 Suspicious:W32/Malware!Gemini
FileAdvisor 1 2008.03.30 -
Fortinet 3.14.0.0 2008.03.30 -
Ikarus T3.1.1.20 2008.03.30 Backdoor.Bifrose
Kaspersky 7.0.0.125 2008.03.30 -
McAfee 5262 2008.03.28 New Win32.g2
Microsoft 1.3301 2008.03.30 -
NOD32v2 2984 2008.03.29 -
Norman 5.80.02 2008.03.28 -
Panda 9.0.0.4 2008.03.29 -
Prevx1 V2 2008.03.30 Heuristic: Suspicious Self Modifying EXE
Rising 20.37.61.00 2008.03.30 -
Sophos 4.28.0 2008.03.30 Sus/UnkPacker
Sunbelt 3.0.978.0 2008.03.18 -
Symantec 10 2008.03.30 -
TheHacker 6.2.92.258 2008.03.29 -
VBA32 3.12.6.3 2008.03.25 -
VirusBuster 4.3.26:9 2008.03.29 -
Webwasher-Gateway 6.6.2 2008.03.30 Win32.Malware.gen (suspicious)
weitere Informationen
File size: 1659762 bytes
MD5: 04fbfb91c1e4b6f4fb59159920ebac17
SHA1: 206dfb1b5b80d8183fd16fc4d8d3f40e54cd1244
PEiD: Xtreme-Protector v1.05
packers: Themida
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=F0FBAC767294E08C53B5196DADC056009D4B067D

BataAlexander · 30.03.2008, 18:03

Zitat:

2. Neu aufsetzen - ok damit kann ich leben - aber Kompromittiert ist gut und schön, kann ich meine eigenen Dateien behalten oder sind die auch verseucht!? Wie sieht es da aus?

Unter der Faq Sektion findest Du eine Anleitung zum Neuaufsetzen. Kompromittiert heißt, dass Du nach dem Neuaufspielen alle Zugangsdaten, Passwörter etc. ändern musst!
Deine Dateien kannst Du nach einem negativen Scan auf dem frischen System wieder verwenden.

30.03.2008, 13:02	#2
BataAlexander > MalwareDB	win32.shark.af Wenn Shark - dann ists blöd. Dann ist der Rechner kompromittiert. Diese beiden Dateien M:\Programme\system_guard.exe M:\WINDOWS\system32\Security Center update check.exe wenn möglich bei VirusTotal - Free Online Virus and Malware Scan hochladen und auswerten lassen. Das Ergebnis hier posten, incl. MD5/SHA1. __________________

win32.shark.af

Log-Analyse und Auswertung: win32.shark.af

win32.shark.af

win32.shark.af

win32.shark.af

win32.shark.af

win32.shark.af

win32.shark.af

Ähnliche Themen: win32.shark.af

30.03.2008, 13:15	#3
Heike	win32.shark.af 1) sharK fliegt nicht auf den PC 2) sharK ist teilweise "nette" Beigabe bei Cracks ( da treffen sich dann die Illegalen :aplaus: ) 3) formatieren 4) alle Passwörter ändern 5) ändere Dein Verhalten im Internet have fun, Heike __________________ __________________